NineRAT 惡意軟體利用 Lazarus 駭客組織的策略瞄準系統

思科 Talos 最近發現了由 Lazarus Group 策劃的一項新的網路活動，名為「鐵匠行動」。此操作使用了三個基於 DLang 的新型惡意軟體系列，其中兩個被確定為遠端存取木馬 (RAT)。值得注意的是，其中一種 RAT 利用 Telegram 機器人和通道作為命令和控制 (C2) 通訊的手段，贏得了“NineRAT”的綽號，而非基於 Telegram 的 RAT 則被標記為“DLRAT”。此外，在操作中還發現了一個名為「BottomLoader」的基於 DLang 的下載器。

這項發現標誌著北韓 APT（高級持續性威脅）組織 Lazarus Group 所採用策略的重大轉變。在過去的 18 個月中，Cisco Talos 揭露了使用 QtFramework、PowerBasic 和最新新增的 DLang 等非常規技術開發的三種不同的 RAT。

值得注意的是，拉撒路的鐵匠行動與北韓國家支持的組織 Onyx Sleet（也被稱為 Andariel APT 組織）相關的戰術、技術和程序 (TTP) 之間存在相似之處。 Andariel 被廣泛認為是Lazarus 旗下的一個子組織，該活動展示了針對全球企業的機會主義目標，這些企業將脆弱的基礎設施暴露在n 天的漏洞利用中，包括眾所周知的CVE-2021-44228 (Log4j )。 Lazarus 特別針對製造業、農業和人身安全等產業。

鐵匠行動涉及 Log4j 的利用，並引入了一種以前未知的基於 DLang 的 RAT NineRAT，它利用 Telegram 進行 C2 通訊。 NineRAT 最初於 2022 年 5 月左右構建，大約一年後首次在該活動中使用，分別於 2023 年 3 月和 2023 年 9 月針對南美農業組織和歐洲製造實體。

Cisco Talos 的分析顯示，與 Microsoft 於 2023 年 10 月揭露的由 Onyx Sleet 發動的惡意攻擊重疊。這符合更廣泛的理解，即 Lazarus APT 作為一個傘式組織運作，包含多個子團體，每個子團體追求與北韓國防、政治、國家安全以及研發相關的不同目標。

受 NineRAT 惡意軟體影響的電腦使用者應採取行動使用反惡意軟體工具，不僅可以防止未來的攻擊，而且可以完全消除威脅。