Νέο κακόβουλο λογισμικό EarlyRAT που συνδέεται με τη βορειοκορεατική ομάδα hacking Andariel
Related Posts
Αναλυτές ασφαλείας ανακάλυψαν έναν προηγουμένως μη τεκμηριωμένο trojan απομακρυσμένης πρόσβασης (RAT) με την ονομασία «EarlyRAT», που χρησιμοποιήθηκε από τον Andariel, μια υποομάδα της βορειοκορεατικής ομάδας χάκερ Lazarus που χρηματοδοτείται από το κράτος.
Ο Andariel (γνωστός και ως Stonefly) πιστεύεται ότι ανήκει στην ομάδα hacking Lazarus που είναι γνωστή για τη χρήση της σπονδυλωτής κερκόπορτας DTrack για τη συλλογή πληροφοριών από παραβιασμένα συστήματα, όπως ιστορικό περιήγησης, δεδομένα πληκτρολόγησης (keylogging), στιγμιότυπα οθόνης, διεργασίες που εκτελούνται και άλλα.
Σε μια πιο πρόσφατη αναφορά από το WithSecure, ανακαλύφθηκε ότι μια βορειοκορεατική ομάδα που χρησιμοποιεί μια νεότερη παραλλαγή του DTrack, πιθανώς τον Andariel, συγκέντρωσε πολύτιμη πνευματική ιδιοκτησία για δύο μήνες.
Η Kaspersky έχει επίσης συνδέσει το Andariel με τις αναπτύξεις ransomware Maui στη Ρωσία, την Ινδία και τη Νοτιοανατολική Ασία, επομένως η ομάδα απειλών συχνά επικεντρώνεται στη δημιουργία εσόδων.
Η ομάδα hacking χρησιμοποιεί το EarlyRAT για να συλλέξει πληροφορίες συστήματος από τις συσκευές που έχουν παραβιαστεί και να τις στείλει στον διακομιστή C2 (εντολή και έλεγχος) του εισβολέα.
Η ανακάλυψη του RAT, που προέρχεται από
Kaspersky
προσθέτει ένα άλλο κομμάτι στο παζλ του οπλοστασίου της ομάδας και βοηθά τους υπερασπιστές να εντοπίσουν και να σταματήσουν τις σχετικές εισβολές.
EarlyRAT
Η Kaspersky ανακάλυψε το EarlyRAT ενώ ερευνούσε μια καμπάνια Andariel από τα μέσα του 2022, όπου οι παράγοντες απειλών μόχλευαν το Log4Shell για να παραβιάσουν τα εταιρικά δίκτυα.
Εκμεταλλευόμενος το ελάττωμα στο λογισμικό Log4j, ο Andariel κατέβασε εργαλεία όπως τα 3Proxy, Putty, Dumpert και Powerline για να πραγματοποιήσει αναγνώριση δικτύου, κλοπή διαπιστευτηρίων και πλευρική κίνηση.
Οι αναλυτές παρατήρησαν επίσης ένα έγγραφο phishing σε αυτές τις επιθέσεις, το οποίο χρησιμοποιούσε μακροεντολές για να φέρει ένα ωφέλιμο φορτίο EarlyRAT από έναν διακομιστή που σχετίζεται με προηγούμενες καμπάνιες ransomware Maui.
Το EarlyRAT είναι ένα απλό εργαλείο που, κατά την εκκίνηση, συλλέγει πληροφορίες συστήματος και τις στέλνει στον διακομιστή C2 μέσω αιτήματος POST.
Αίτημα POST του EarlyRAT
(Kaspersky)
Η δεύτερη κύρια λειτουργία του EarlyRAT είναι η εκτέλεση εντολών στο μολυσμένο σύστημα, πιθανώς η λήψη πρόσθετων ωφέλιμων φορτίων, η εξαγωγή πολύτιμων δεδομένων ή η διακοπή λειτουργίας του συστήματος.
Η Kaspersky δεν δίνει λεπτομέρειες σχετικά με αυτό το μέτωπο, αλλά λέει ότι το EarlyRAT μοιάζει πολύ με το MagicRAT, ένα άλλο εργαλείο που χρησιμοποιεί ο Lazarus, του οποίου οι λειτουργίες περιλαμβάνουν τη δημιουργία προγραμματισμένων εργασιών και τη λήψη πρόσθετου κακόβουλου λογισμικού από το C2.
Οι ερευνητές λένε ότι οι εξετασθείσες δραστηριότητες EarlyRAT φάνηκαν να εκτελούνται από έναν άπειρο άνθρωπο χειριστή, δεδομένου του αριθμού των λαθών και των τυπογραφικών σφαλμάτων.
Παρατηρήθηκε ότι διάφορες εντολές που εκτελούνταν στις παραβιασμένες συσκευές δικτύου πληκτρολογήθηκαν χειροκίνητα και όχι κωδικοποιημένες, οδηγώντας συχνά σε σφάλματα που προκαλούνται από τυπογραφικά σφάλματα.
Παρόμοια απροσεξία αποκάλυψε μια εκστρατεία Lazarus στους αναλυτές της WithSecure πέρυσι, οι οποίοι είδαν έναν χειριστή του ομίλου να ξεχάσει να χρησιμοποιήσει έναν διακομιστή μεσολάβησης στην αρχή της εργάσιμης ημέρας και να αποκαλύψει τη διεύθυνση IP της Βόρειας Κορέας.
