Анализатори по сигурността са открили недокументиран досега троянски кон за отдалечен достъп (RAT), наречен „EarlyRAT“, използван от Andariel – подгрупа на севернокорейската държавно спонсорирана хакерска група Lazarus.

Смята се, че Andariel (известна още като Stonefly) е част от хакерската група Lazarus, известна с използването на модулната задна врата DTrack за събиране на информация от компрометирани системи, като например история на сърфирането, въведени данни (keylogging), снимки на екрана, стартирани процеси и др.

В по-скорошен доклад на WithSecure е установено, че севернокорейска група, използваща по-нов вариант на DTrack, вероятно Andariel, е събирала ценна интелектуална собственост в продължение на два месеца.

Kaspersky също така свърза Andariel с внедряването на Maui ransomware в Русия, Индия и Югоизточна Азия, така че групата за заплахи често се фокусира върху генерирането на приходи.

Хакерската група използва EarlyRAT, за да събира системна информация от пробитите устройства и да я изпраща до C2 (команден и контролен) сървър на нападателя.

Откриването на RAT, което идва от Kaspersky, добавя още една част към пъзела на арсенала на групата и помага на защитниците да откриват и спират свързаните с нея прониквания.

EarlyRAT

Kaspersky откри EarlyRAT, докато разследваше кампания на Andariel от средата на 2022 г., в която хакерите използваха Log4Shell, за да проникнат в корпоративни мрежи.

Като използваше дефекта в софтуера Log4j, Andariel изтегляше готови инструменти като 3Proxy, Putty, Dumpert и Powerline, за да извършва разузнаване на мрежата, кражба на удостоверения и странично придвижване.

Анализаторите също така забелязват фишинг документ в тези атаки, който използва макроси за извличане на EarlyRAT полезен товар от сървър, свързан с предишни кампании за откуп Maui.

EarlyRAT е прост инструмент, който при стартиране събира системна информация и я изпраща на C2 сървъра чрез POST заявка.

Втората основна функция на EarlyRAT е да изпълнява команди в заразената система, евентуално за изтегляне на допълнителен полезен товар, ексфилтриране на ценни данни или нарушаване на работата на системата.

Kaspersky не дава подробности на този фронт, но казва, че EarlyRAT е много подобен на MagicRAT, друг инструмент, използван от Lazarus, чиито функции включват създаване на планирани задачи и изтегляне на допълнителен зловреден софтуер от C2.

Изследователите казват, че изследваните дейности на EarlyRAT изглежда са изпълнени от неопитен човешки оператор, като се има предвид броят на грешките и правописа.

Забелязано е, че различни команди, изпълнявани на пробитите мрежови устройства, са били въвеждани ръчно, а не са  твърдо кодирани, което често е водело до бъгове, предизвикани от печатни грешки.

Подобна небрежност разкри кампанията Lazarus на анализаторите на WithSecure миналата година, които видяха как оператор на групата забравя да използва прокси сървър в началото на работния си ден и разкрива севернокорейския си IP адрес.

Източник: По материали от Интернет

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
17 февруари 2025

Изтеглянето на DeepSeek е спряно в Южна Корея

Китайският стартъп за изкуствен интелект DeepSeek временно е спрял ...
Бъдете социални
Още по темата
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
17/02/2025

Русия насочва организациите...

Свързана с Русия заплаха, проследена като...
13/02/2025

Япония преминава в атака с ...

Според експерти Япония се стреми да...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!