O ator de ameaça alinhado à Coreia do Norte conhecido como Andariel utilizou um malware previamente não documentado chamado EarlyRat em ataques que exploraram a vulnerabilidade Log4j Log4Shell no ano passado.
"Andariel infecta máquinas executando um exploit de Log4j, que, por sua vez, faz o download de malware adicional do servidor de comando e controle (C2)", disse a Kaspersky em um novo relatório.
Também conhecido como Silent Chollima e Stonefly, Andariel está associado à Lab 110 da Coreia do Norte, uma unidade primária de hackers que também abriga a APT38 (também conhecida como BlueNoroff) e outros elementos subordinados rastreados coletivamente sob o nome de Lazarus Group.
O ator de ameaça, além de realizar ataques de espionagem contra governos estrangeiros e entidades militares de interesse estratégico, é conhecido por cometer crimes cibernéticos como fonte extra de renda para a nação atingida por sanções.
Algumas das principais armas cibernéticas em seu arsenal incluem uma cepa de ransomware chamada Maui e vários trojans de acesso remoto e backdoors, como Dtrack (também conhecido como Valefor e Preft), NukeSped (também conhecido como Manuscrypt), MagicRAT e YamaBot.
NukeSped contém uma variedade de recursos para criar e encerrar processos e mover, ler e gravar arquivos no host infectado.
O uso do NukeSped se sobrepõe a uma campanha rastreada pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) sob o nome TraderTraitor.
A utilização da vulnerabilidade Log4Shell em servidores VMware Horizon não corrigidos por parte do Andariel já havia sido documentada anteriormente pelo Centro de Resposta a Emergências de Segurança da AhnLab (ASEC) e pela Cisco Talos em 2022.
A mais recente cadeia de ataques descoberta pela Kaspersky mostra que o EarlyRat é propagado por meio de e-mails de phishing contendo documentos do Microsoft Word como isca.
Os arquivos, quando abertos, solicitam aos destinatários que habilitem macros, levando à execução de código VBA responsável pelo download do trojan.
Descrito como um backdoor simples, mas limitado, o EarlyRat é projetado para coletar e exfiltrar informações do sistema para um servidor remoto, além de executar comandos arbitrários.
Ele também compartilha semelhanças de alto nível com o MagicRAT, além de ser escrito usando um framework chamado PureBasic.
O MagicRAT, por sua vez, utiliza o Framework Qt.
Outra característica da intrusão é o uso de ferramentas prontas para uso, como 3Proxy, ForkDump, NTDSDumpEx, Powerline e PuTTY, para a exploração adicional do alvo.
"Apesar de ser um grupo APT, o Lazarus é conhecido por realizar tarefas típicas de crimes cibernéticos, como implantar ransomware, o que torna o cenário de crimes cibernéticos mais complicado", disse a Kaspersky.
"Além disso, o grupo usa uma ampla variedade de ferramentas personalizadas, atualizando constantemente as existentes e desenvolvendo novos malwares."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...