Novo malware EarlyRAT está ligado ao grupo de hackers norte-coreano Andariel
30 de Junho de 2023

Analistas de segurança descobriram um trojan de acesso remoto (RAT) previamente não documentado chamado 'EarlyRAT', usado pelo grupo hacker norte-coreano Lazarus, que é patrocinado pelo estado, especificamente pelo subgrupo Andariel.

Acredita-se que o Andariel (também conhecido como Stonefly) faça parte do grupo hacker Lazarus, conhecido por usar a backdoor modular DTrack para coletar informações de sistemas comprometidos, como histórico de navegação, dados digitados (keylogging), capturas de tela, processos em execução e muito mais.

Em um relatório mais recente da WithSecure, foi descoberto que um grupo norte-coreano, possivelmente o Andariel, usando uma nova variante do DTrack, coletou propriedade intelectual valiosa por dois meses.

A Kaspersky também relacionou o Andariel a implantações do ransomware Maui na Rússia, Índia e Sudeste Asiático, portanto, o grupo de ameaças geralmente se concentra em gerar receita.

O grupo de hackers usa o EarlyRAT para coletar informações do sistema dos dispositivos comprometidos e enviá-las para o servidor de controle e comando (C2) do atacante.

A descoberta do RAT, feita pela Kaspersky, adiciona mais uma peça ao quebra-cabeça do arsenal do grupo e ajuda os defensores a detectar e interromper as intrusões associadas.

A Kaspersky descobriu o EarlyRAT enquanto investigava uma campanha do Andariel a partir de meados de 2022, na qual os atores da ameaça estavam aproveitando a vulnerabilidade no software Log4j para invadir redes corporativas.

Ao explorar a falha no software Log4j, o Andariel baixou ferramentas prontas para uso, como 3Proxy, Putty, Dumpert e Powerline, para realizar reconhecimento de rede, roubo de credenciais e movimentação lateral.

Os analistas também observaram um documento de phishing nessas campanhas, que usava macros para buscar um payload do EarlyRAT de um servidor associado a campanhas anteriores de ransomware Maui.

O EarlyRAT é uma ferramenta simples que, ao ser executada, coleta informações do sistema e as envia para o servidor C2 por meio de uma solicitação POST.

A segunda função principal do EarlyRAT é executar comandos no sistema infectado, possivelmente para baixar payloads adicionais, exfiltrar dados valiosos ou interromper as operações do sistema.

A Kaspersky não entra em detalhes sobre esse aspecto, mas afirma que o EarlyRAT é muito semelhante ao MagicRAT, outra ferramenta usada pelo Lazarus, cujas funções incluem a criação de tarefas agendadas e o download de malware adicional do C2.

Os pesquisadores afirmam que as atividades do EarlyRAT examinadas pareciam ter sido executadas por um operador humano inexperiente, dada a quantidade de erros e erros de digitação.

Foi observado que vários comandos executados nos dispositivos de rede comprometidos foram digitados manualmente e não codificados, o que muitas vezes levou a erros de digitação.

Descuidos semelhantes expuseram uma campanha do Lazarus aos analistas da WithSecure no ano passado, quando viram um membro do grupo esquecer de usar um proxy no início do dia de trabalho e expor seu endereço IP norte-coreano.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...