Logiciel malveillant EarlyRat

Les chercheurs en cybersécurité ont remarqué que l'acteur menaçant Andariel, associé à la Corée du Nord, a élargi son arsenal en utilisant un malware récemment découvert appelé EarlyRat. L'outil malveillant jusqu'alors inconnu a été déployé par les acteurs de la menace dans des campagnes de phishing. Cet ajout améliore encore la vaste gamme d'outils et de tactiques d'Andariel.

Pour infecter les machines ciblées, les cybercriminels Andariel profitent d'un exploit Log4j, exploitant les vulnérabilités de la bibliothèque de journalisation Log4j. Grâce à cet exploit, l'auteur de la menace accède au système compromis et procède au téléchargement de logiciels malveillants supplémentaires à partir du serveur de commande et de contrôle (C2) de l'opération d'attaque.

Andariel est connecté à d'autres groupes de hackers nord-coréens

Andariel, également connu sous les pseudonymes Silent Chollima et Stonefly, opère sous l'égide du groupe Lazarus aux côtés d'autres éléments subordonnés tels que APT38 (alias BlueNoroff). Cet acteur menaçant est également associé au Lab 110, une importante unité de piratage basée en Corée du Nord.

Les activités d'Andariel englobent une gamme d'opérations, y compris l'espionnage ciblant des gouvernements étrangers et des entités militaires d'intérêt stratégique. De plus, le groupe se livre à des activités de cybercriminalité pour générer des revenus supplémentaires pour la nation, qui fait l'objet de lourdes sanctions.

L'arsenal d' Andariel comprend diverses cyber-armes, dont le célèbre Maui Ransomware. En outre, le groupe utilise de nombreux chevaux de Troie d'accès à distance et portes dérobées, tels que Dtrack (également connu sous le nom de Valefor et Preft), NukeSped (alias Manuscrypt), MagicRAT et YamaBot .

NukeSped, en particulier, possède un large éventail de fonctionnalités qui lui permettent de créer et de terminer des processus, ainsi que de manipuler des fichiers sur l'hôte compromis. Notamment, l'utilisation de NukeSped chevauche une campagne connue sous le nom de TraderTraitor, qui a été suivie par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.

L'exploitation par Andariel de la vulnérabilité Log4Shell dans les serveurs VMware Horizon non corrigés a déjà été documentée par AhnLab Security Emergency Response Center (ASEC) et Cisco Talos en 2022, soulignant les efforts continus du groupe pour militariser les vulnérabilités émergentes.

EarlyRat collecte des informations et exécute des commandes intrusives sur les appareils piratés

Le logiciel malveillant EarlyRat se propage par le biais d'e-mails de phishing contenant des documents Microsoft Word trompeurs. Lors de l'ouverture de ces fichiers, les destinataires sont invités à activer les macros, déclenchant l'exécution du code VBA responsable du téléchargement de la menace.

EarlyRat se caractérise comme une porte dérobée simple mais limitée, conçue pour collecter et transmettre des informations système à un serveur distant. De plus, il a la capacité d'exécuter des commandes arbitraires. Notamment, il existe des ressemblances notables entre EarlyRat et MagicRAT, bien qu'ils aient été écrits à l'aide de frameworks différents. EarlyRat utilise PureBasic, tandis que MagicRAT utilise le Qt Framework.

Dans le contexte d'attaques exploitant la vulnérabilité Log4j Log4Shell observées l'année précédente, une tactique inédite a maintenant émergé. Des attaquants ont été observés en train d'utiliser des outils légitimes prêts à l'emploi, tels que 3Proxy , ForkDump, NTDSDumpEx, Powerline et PuTTY , pour exploiter davantage leurs cibles et leurs appareils compromis. Cette approche leur permet de tirer parti des outils existants pour leurs activités malveillantes, augmentant ainsi la sophistication et l'impact potentiel des attaques.