Malware EarlyRat

Los investigadores de ciberseguridad han notado que el actor de amenazas Andariel, asociado con Corea del Norte, ha ampliado su arsenal al utilizar un malware recientemente descubierto llamado EarlyRat. La herramienta maliciosa previamente desconocida ha sido implementada por los actores de amenazas en campañas de phishing. Esta adición mejora aún más la amplia gama de herramientas y tácticas de Andariel.

Para infectar las máquinas objetivo, los ciberdelincuentes de Andariel aprovechan un exploit de Log4j, aprovechando las vulnerabilidades en la biblioteca de registro de Log4j. A través de este exploit, el actor de amenazas obtiene acceso al sistema comprometido y procede a descargar malware adicional del servidor de comando y control (C2) de la operación de ataque.

Andariel está conectado con otros grupos de piratas informáticos de Corea del Norte

Andariel, también conocido por los alias Silent Chollima y Stonefly, opera bajo el paraguas del Grupo Lazarus junto con otros elementos subordinados como APT38 (también conocido como BlueNoroff). Este actor de amenazas también está asociado con Lab 110, una destacada unidad de piratería con sede en Corea del Norte.

Las actividades de Andariel abarcan una variedad de operaciones, incluido el espionaje dirigido a gobiernos extranjeros y entidades militares de interés estratégico. Además, el grupo participa en actividades de ciberdelincuencia para generar ingresos complementarios para la nación, que se encuentra bajo fuertes sanciones.

El arsenal de Andariel comprende varias armas cibernéticas, incluido el notorio Maui Ransomware. Además, el grupo utiliza numerosos troyanos de acceso remoto y puertas traseras, como Dtrack (también conocido como Valefor y Preft), NukeSped (también conocido como Manuscrypt), MagicRAT y YamaBot .

NukeSped, en particular, posee una amplia gama de capacidades que le permiten crear y finalizar procesos, así como manipular archivos en el host comprometido. En particular, el uso de NukeSped se superpone con una campaña conocida como TraderTraitor, que ha sido rastreada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

La explotación de Andariel de la vulnerabilidad Log4Shell en servidores VMware Horizon sin parches fue documentada previamente por AhnLab Security Emergency Response Center (ASEC) y Cisco Talos en 2022, destacando los esfuerzos continuos del grupo para armar las vulnerabilidades emergentes.

EarlyRat recopila información y ejecuta comandos intrusivos en los dispositivos violados

El malware EarlyRat se propaga a través de correos electrónicos de phishing que contienen documentos engañosos de Microsoft Word. Al abrir estos archivos, se solicita a los destinatarios que habiliten las macros, lo que desencadena la ejecución del código VBA responsable de descargar la amenaza.

EarlyRat se caracteriza por ser una puerta trasera sencilla pero limitada, diseñada para recopilar y transmitir información del sistema a un servidor remoto. Además, tiene la capacidad de ejecutar comandos arbitrarios. En particular, existen similitudes notables entre EarlyRat y MagicRAT, a pesar de estar escritos con diferentes marcos. EarlyRat utiliza PureBasic, mientras que MagicRAT emplea Qt Framework.

En el contexto de los ataques que explotan la vulnerabilidad Log4j Log4Shell observados el año anterior, ha surgido una táctica nunca antes vista. Se ha observado que los atacantes hacen uso de herramientas legítimas estándar, como 3Proxy , ForkDump, NTDSDumpEx, Powerline y PuTTY , para explotar aún más sus objetivos y dispositivos comprometidos. Este enfoque les permite aprovechar las herramientas existentes para sus actividades maliciosas, aumentando la sofisticación y el impacto potencial de los ataques.