Анализатори по сигурността са открили недокументиран досега троянски кон за отдалечен достъп (RAT), наречен „EarlyRAT“, използван от Andariel – подгрупа на севернокорейската държавно спонсорирана хакерска група Lazarus.
Смята се, че Andariel (известна още като Stonefly) е част от хакерската група Lazarus, известна с използването на модулната задна врата DTrack за събиране на информация от компрометирани системи, като например история на сърфирането, въведени данни (keylogging), снимки на екрана, стартирани процеси и др.
В по-скорошен доклад на WithSecure е установено, че севернокорейска група, използваща по-нов вариант на DTrack, вероятно Andariel, е събирала ценна интелектуална собственост в продължение на два месеца.
Kaspersky също така свърза Andariel с внедряването на Maui ransomware в Русия, Индия и Югоизточна Азия, така че групата за заплахи често се фокусира върху генерирането на приходи.
Хакерската група използва EarlyRAT, за да събира системна информация от пробитите устройства и да я изпраща до C2 (команден и контролен) сървър на нападателя.
Откриването на RAT, което идва от Kaspersky, добавя още една част към пъзела на арсенала на групата и помага на защитниците да откриват и спират свързаните с нея прониквания.
Kaspersky откри EarlyRAT, докато разследваше кампания на Andariel от средата на 2022 г., в която хакерите използваха Log4Shell, за да проникнат в корпоративни мрежи.
Като използваше дефекта в софтуера Log4j, Andariel изтегляше готови инструменти като 3Proxy, Putty, Dumpert и Powerline, за да извършва разузнаване на мрежата, кражба на удостоверения и странично придвижване.
Анализаторите също така забелязват фишинг документ в тези атаки, който използва макроси за извличане на EarlyRAT полезен товар от сървър, свързан с предишни кампании за откуп Maui.
EarlyRAT е прост инструмент, който при стартиране събира системна информация и я изпраща на C2 сървъра чрез POST заявка.
Втората основна функция на EarlyRAT е да изпълнява команди в заразената система, евентуално за изтегляне на допълнителен полезен товар, ексфилтриране на ценни данни или нарушаване на работата на системата.
Kaspersky не дава подробности на този фронт, но казва, че EarlyRAT е много подобен на MagicRAT, друг инструмент, използван от Lazarus, чиито функции включват създаване на планирани задачи и изтегляне на допълнителен зловреден софтуер от C2.
Изследователите казват, че изследваните дейности на EarlyRAT изглежда са изпълнени от неопитен човешки оператор, като се има предвид броят на грешките и правописа.
Забелязано е, че различни команди, изпълнявани на пробитите мрежови устройства, са били въвеждани ръчно, а не са твърдо кодирани, което често е водело до бъгове, предизвикани от печатни грешки.
Подобна небрежност разкри кампанията Lazarus на анализаторите на WithSecure миналата година, които видяха как оператор на групата забравя да използва прокси сървър в началото на работния си ден и разкрива севернокорейския си IP адрес.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.