EarlyRat-Malware

Cybersicherheitsforscher haben festgestellt, dass der mit Nordkorea in Verbindung stehende Bedrohungsakteur Andariel sein Arsenal durch den Einsatz einer neu entdeckten Malware namens EarlyRat erweitert hat. Das bisher unbekannte Schadtool wurde von den Bedrohungsakteuren in Phishing-Kampagnen eingesetzt. Diese Ergänzung erweitert Andariels umfangreiche Palette an Werkzeugen und Taktiken weiter.

Um gezielte Maschinen zu infizieren, nutzen die Andariel-Cyberkriminellen einen Log4j-Exploit und nutzen dabei Schwachstellen in der Log4j-Protokollierungsbibliothek aus. Durch diesen Exploit erhält der Bedrohungsakteur Zugriff auf das kompromittierte System und lädt weitere Malware vom Command-and-Control-Server (C2) des Angriffs herunter.

Andariel ist mit anderen nordkoreanischen Hackergruppen verbunden

Andariel, auch bekannt unter den Pseudonymen Silent Chollima und Stonefly, operiert unter dem Dach der Lazarus Group zusammen mit anderen untergeordneten Elementen wie APT38 (auch bekannt als BlueNoroff). Dieser Bedrohungsakteur wird auch mit Lab 110 in Verbindung gebracht, einer bekannten Hacker-Einheit mit Sitz in Nordkorea.

Andariels Aktivitäten umfassen eine Reihe von Operationen, einschließlich Spionage gegen ausländische Regierungs- und Militäreinheiten von strategischem Interesse. Darüber hinaus beteiligt sich die Gruppe an Cyberkriminalitätsaktivitäten, um zusätzliches Einkommen für das Land zu generieren, das unter schweren Sanktionen steht.

Das Arsenal von Andariel umfasst verschiedene Cyberwaffen, darunter die berüchtigte Maui Ransomware. Darüber hinaus nutzt die Gruppe zahlreiche Remote-Access-Trojaner und Hintertüren, wie Dtrack (auch bekannt als Valefor und Preft), NukeSped (auch bekannt als Manuscrypt), MagicRAT und YamaBot .

Insbesondere NukeSped verfügt über eine Vielzahl von Funktionen, die es ihm ermöglichen, Prozesse zu erstellen und zu beenden sowie Dateien auf dem kompromittierten Host zu manipulieren. Insbesondere überschneidet sich die Nutzung von NukeSped mit einer Kampagne namens TraderTraitor, die von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) verfolgt wurde.

Andariels Ausnutzung der Log4Shell-Schwachstelle in ungepatchten VMware Horizon-Servern wurde bereits im Jahr 2022 vom AhnLab Security Emergency Response Center (ASEC) und Cisco Talos dokumentiert, was die laufenden Bemühungen der Gruppe verdeutlicht, neu auftretende Schwachstellen zu einer Waffe zu machen.

EarlyRat sammelt Informationen und führt aufdringliche Befehle auf den angegriffenen Geräten aus

Die EarlyRat-Malware verbreitet sich über Phishing-E-Mails, die betrügerische Microsoft Word-Dokumente enthalten. Beim Öffnen dieser Dateien werden die Empfänger aufgefordert, Makros zu aktivieren, wodurch die Ausführung des VBA-Codes ausgelöst wird, der für das Herunterladen der Bedrohung verantwortlich ist.

EarlyRat zeichnet sich durch eine unkomplizierte, aber begrenzte Hintertür aus, die darauf ausgelegt ist, Systeminformationen zu sammeln und an einen Remote-Server zu übertragen. Darüber hinaus besteht die Möglichkeit, beliebige Befehle auszuführen. Bemerkenswert ist, dass es merkwürdige Ähnlichkeiten zwischen EarlyRat und MagicRAT gibt, obwohl sie mit unterschiedlichen Frameworks geschrieben wurden. EarlyRat nutzt PureBasic, während MagicRAT das Qt Framework nutzt.

Im Zusammenhang mit den im Vorjahr beobachteten Angriffen unter Ausnutzung der Log4j-Log4Shell-Schwachstelle ist nun eine bisher unbekannte Taktik aufgetaucht. Es wurde beobachtet, dass Angreifer legitime Standardtools wie 3Proxy , ForkDump, NTDSDumpEx, Powerline und PuTTY nutzen, um ihre Ziele und kompromittierten Geräte weiter auszunutzen. Dieser Ansatz ermöglicht es ihnen, vorhandene Tools für ihre böswilligen Aktivitäten zu nutzen und so die Komplexität und potenzielle Wirkung der Angriffe zu erhöhen.