Grupo de hackers norte-coreanos Andariel ataca com novo malware EarlyRat
29 de Junho de 2023

O ator de ameaça alinhado à Coreia do Norte conhecido como Andariel utilizou um malware previamente não documentado chamado EarlyRat em ataques que exploraram a vulnerabilidade Log4j Log4Shell no ano passado.

"Andariel infecta máquinas executando um exploit de Log4j, que, por sua vez, faz o download de malware adicional do servidor de comando e controle (C2)", disse a Kaspersky em um novo relatório.

Também conhecido como Silent Chollima e Stonefly, Andariel está associado à Lab 110 da Coreia do Norte, uma unidade primária de hackers que também abriga a APT38 (também conhecida como BlueNoroff) e outros elementos subordinados rastreados coletivamente sob o nome de Lazarus Group.

O ator de ameaça, além de realizar ataques de espionagem contra governos estrangeiros e entidades militares de interesse estratégico, é conhecido por cometer crimes cibernéticos como fonte extra de renda para a nação atingida por sanções.

Algumas das principais armas cibernéticas em seu arsenal incluem uma cepa de ransomware chamada Maui e vários trojans de acesso remoto e backdoors, como Dtrack (também conhecido como Valefor e Preft), NukeSped (também conhecido como Manuscrypt), MagicRAT e YamaBot.

NukeSped contém uma variedade de recursos para criar e encerrar processos e mover, ler e gravar arquivos no host infectado.

O uso do NukeSped se sobrepõe a uma campanha rastreada pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) sob o nome TraderTraitor.

A utilização da vulnerabilidade Log4Shell em servidores VMware Horizon não corrigidos por parte do Andariel já havia sido documentada anteriormente pelo Centro de Resposta a Emergências de Segurança da AhnLab (ASEC) e pela Cisco Talos em 2022.

A mais recente cadeia de ataques descoberta pela Kaspersky mostra que o EarlyRat é propagado por meio de e-mails de phishing contendo documentos do Microsoft Word como isca.

Os arquivos, quando abertos, solicitam aos destinatários que habilitem macros, levando à execução de código VBA responsável pelo download do trojan.

Descrito como um backdoor simples, mas limitado, o EarlyRat é projetado para coletar e exfiltrar informações do sistema para um servidor remoto, além de executar comandos arbitrários.

Ele também compartilha semelhanças de alto nível com o MagicRAT, além de ser escrito usando um framework chamado PureBasic.

O MagicRAT, por sua vez, utiliza o Framework Qt.

Outra característica da intrusão é o uso de ferramentas prontas para uso, como 3Proxy, ForkDump, NTDSDumpEx, Powerline e PuTTY, para a exploração adicional do alvo.

"Apesar de ser um grupo APT, o Lazarus é conhecido por realizar tarefas típicas de crimes cibernéticos, como implantar ransomware, o que torna o cenário de crimes cibernéticos mais complicado", disse a Kaspersky.

"Além disso, o grupo usa uma ampla variedade de ferramentas personalizadas, atualizando constantemente as existentes e desenvolvendo novos malwares."

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...