Η βορειοκορεατική ομάδα hacking Andariel, χρησιμοποίησε ένα προηγουμένως μη τεκμηριωμένο κακόβουλο λογισμικό που ονομάζεται EarlyRat σε επιθέσεις που εκμεταλλεύτηκαν την ευπάθεια Log4j Log4Shell πέρυσι.
Ερευνητές ανακάλυψαν μια προηγουμένως άγνωστη οικογένεια κακόβουλου λογισμικού και αποκάλυψαν λειτουργικά λάθη που διέπραξε η Andariel, μια υποομάδα του Βορειοκορεάτικου απειλητικού παράγοντα γνωστού ως Lazarus Group. Η Kaspersky περιέγραψε τα ευρήματα σε μια συμβουλευτική ανακοίνωση που δημοσιεύτηκε σήμερα, η οποία ανέλυσε τις τακτικές της ομάδας και αποκάλυψε την εμφάνιση μιας νέας απειλής που ονομάζεται “EarlyRat”.
Δείτε επίσης: Akira ransomware: Η έκδοση Linux στοχεύει διακομιστές VMware ESXi
Δείτε επίσης: Arcserve: Διόρθωσε κρίσιμη ευπάθεια στο λογισμικό UDP
Η ομάδα Andariel είναι γνωστή για τη χρήση του κακόβουλου λογισμικού DTrack και του ransomware Maui. Πρώτη φορά τράβηξε την προσοχή στα μέσα του 2022. Εκμεταλλευόμενη την ευπάθεια Log4j, η Andariel εισήγαγε διάφορες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των YamaBot και MagicRat, μαζί με ενημερωμένες εκδόσεις των NukeSped και DTrack.
Κατά τη διάρκεια μιας άλλης έρευνας, οι ερευνητές της Kaspersky ανακάλυψαν την εκστρατεία της Andariel και αποφάσισαν να ερευνήσουν περαιτέρω. Η έρευνα αποκάλυψε ότι η Andariel ξεκινά τις μολύνσεις εκτελώντας ένα Log4j exploit, η οποία κατεβάζει επιπλέον κακόβουλο λογισμικό από έναν command-and-control (C2) server. Ειδικότερα, οι ερευνητές παρατήρησαν την εκτέλεση εντολών από έναν ανθρώπινο χειριστή και σημείωσαν πολλά λάθη και τυπογραφικά λάθη, υποδεικνύοντας ότι πίσω από την επιχείρηση ήταν ένα άπειρο άτομο.
Επιπλέον, οι ερευνητές αναγνώρισαν τη νέα οικογένεια κακόβουλου λογισμικού γνωστή ως EarlyRat. Αν και αρχικά πιστευόταν ότι κατεβαίνει μέσω Log4j, η περαιτέρω ανάλυση αποκάλυψε ότι τα phishing έγγραφα ήταν ο κύριος μηχανισμός παράδοσης για το EarlyRat. Το κακόβουλο λογισμικό, που κατηγοριοποιείται ως remote access Trojan (RAT), συλλέγει πληροφορίες συστήματος και επικοινωνεί με τον C2 server χρησιμοποιώντας ένα συγκεκριμένο πρότυπο.
“Υποομάδες ομάδων APT, όπως η Andariel της Lazarus, ασχολούνται με τυπικές δραστηριότητες κυβερνοεγκλήματος, όπως η εγκατάσταση ransomware,” εξήγησε ο van der Wiel. “Επικεντρώνοντας σε τακτικές, τεχνικές και διαδικασίες (TTPs), όπως κάναμε με την Andariel, μπορούμε να μειώσουμε σημαντικά τον χρόνο αποδόσεως και να ανιχνεύσουμε επιθέσεις στα πρώιμα τους στάδια.”
Η συμβουλευτική ανακοίνωση της Kaspersky έρχεται εβδομάδες μετά την ανάλυση της εταιρείας blockchain Elliptic, η οποία συνέδεσε την ομάδα Lazarus με τη ληστεία του Atomic Wallet.
Πηγή πληροφοριών: infosecurity-magazine.com
