Анализатори по сигурността са открили недокументиран досега троянски кон за отдалечен достъп (RAT), наречен „EarlyRAT“, използван от Andariel – подгрупа на севернокорейската държавно спонсорирана хакерска група Lazarus.

Смята се, че Andariel (известна още като Stonefly) е част от хакерската група Lazarus, известна с използването на модулната задна врата DTrack за събиране на информация от компрометирани системи, като например история на сърфирането, въведени данни (keylogging), снимки на екрана, стартирани процеси и др.

В по-скорошен доклад на WithSecure е установено, че севернокорейска група, използваща по-нов вариант на DTrack, вероятно Andariel, е събирала ценна интелектуална собственост в продължение на два месеца.

Kaspersky също така свърза Andariel с внедряването на Maui ransomware в Русия, Индия и Югоизточна Азия, така че групата за заплахи често се фокусира върху генерирането на приходи.

Хакерската група използва EarlyRAT, за да събира системна информация от пробитите устройства и да я изпраща до C2 (команден и контролен) сървър на нападателя.

Откриването на RAT, което идва от Kaspersky, добавя още една част към пъзела на арсенала на групата и помага на защитниците да откриват и спират свързаните с нея прониквания.

EarlyRAT

Kaspersky откри EarlyRAT, докато разследваше кампания на Andariel от средата на 2022 г., в която хакерите използваха Log4Shell, за да проникнат в корпоративни мрежи.

Като използваше дефекта в софтуера Log4j, Andariel изтегляше готови инструменти като 3Proxy, Putty, Dumpert и Powerline, за да извършва разузнаване на мрежата, кражба на удостоверения и странично придвижване.

Анализаторите също така забелязват фишинг документ в тези атаки, който използва макроси за извличане на EarlyRAT полезен товар от сървър, свързан с предишни кампании за откуп Maui.

EarlyRAT е прост инструмент, който при стартиране събира системна информация и я изпраща на C2 сървъра чрез POST заявка.

Втората основна функция на EarlyRAT е да изпълнява команди в заразената система, евентуално за изтегляне на допълнителен полезен товар, ексфилтриране на ценни данни или нарушаване на работата на системата.

Kaspersky не дава подробности на този фронт, но казва, че EarlyRAT е много подобен на MagicRAT, друг инструмент, използван от Lazarus, чиито функции включват създаване на планирани задачи и изтегляне на допълнителен зловреден софтуер от C2.

Изследователите казват, че изследваните дейности на EarlyRAT изглежда са изпълнени от неопитен човешки оператор, като се има предвид броят на грешките и правописа.

Забелязано е, че различни команди, изпълнявани на пробитите мрежови устройства, са били въвеждани ръчно, а не са  твърдо кодирани, което често е водело до бъгове, предизвикани от печатни грешки.

Подобна небрежност разкри кампанията Lazarus на анализаторите на WithSecure миналата година, които видяха как оператор на групата забравя да използва прокси сървър в началото на работния си ден и разкрива севернокорейския си IP адрес.