Andariel, un gruppo di hacker associato alla Corea del Nord, ha sfruttato un malware non documentato chiamato EarlyRat in attacchi che hanno sfruttato la vulnerabilità Log4j l’anno scorso. Oltre a condurre attacchi di spionaggio contro entità governative e militari straniere di interesse strategico, il gruppo è noto per compiere crimini informatici come fonte aggiuntiva di reddito per la nazione colpita dalle sanzioni.
Modalità di infezione e controllo
Andariel infetta le macchine eseguendo un exploit Log4j, che a sua volta scarica ulteriori malware dal server di comando e controllo. Secondo un nuovo rapporto di Kaspersky, EarlyRat viene propagato tramite email di phishing contenenti documenti Microsoft Word fasulli. Quando i file vengono aperti, viene richiesto ai destinatari di abilitare le macro, il che porta all’esecuzione del codice VBA responsabile per il download del trojan.
Caratteristiche di EarlyRat e armi cibernetiche
EarlyRat è descritto come un backdoor semplice ma limitato, progettato per raccogliere ed esfiltrare informazioni di sistema su un server remoto e per eseguire comandi arbitrari. Condivide anche somiglianze di alto livello con MagicRAT. Alcune delle principali armi cibernetiche nel suo arsenale includono una variante di ransomware chiamata Maui e numerosi trojan di accesso remoto e backdoor come Dtrack, NukeSped, MagicRAT e YamaBot. NukeSped contiene una serie di funzionalità per creare e terminare processi e spostare, leggere e scrivere file sull’host infetto.
Uso di strumenti legittimi per ulteriori exploit
Un’altra caratteristica dell’intrusione è l’uso di strumenti legittimi facilmente disponibili come 3Proxy, ForkDump, NTDSDumpEx, Powerline e PuTTY per ulteriori sfruttamenti del target. Nonostante sia un gruppo APT, Lazarus è noto per svolgere attività tipiche di crimini informatici, come il dispiegamento di ransomware, rendendo il panorama dei crimini informatici più complicato.