Ресерчеры Лаборатории Касперского обнаружили ранее недокументи | БитЛента 🌲🍸⚡️ Вечный Восходл!

Ресерчеры Лаборатории Касперского обнаружили ранее недокументированный троян удаленного доступа под названием EarlyRAT, используемый Andariel, одной из подгрупп северокорейской АРТ Lazarus.

Andariel (он же Stonefly) считается частью АРТ Lazarus, известной своим модульным бэкдором DTrack для сбора информации из скомпрометированных систем, включая историю просмотров, типизированные данные (кейлоггинг), снимки экрана, запущенные процессы и др.

Ранее в своем отчете исследователи WithSecure уже фиксировали, как северокорейская группа, использующая более новый вариант DTrack, возможно, Andariel, в течение двух месяцев нацеливалась на интеллектуальную собственность.

Лаборатория Касперского также связала Andariel с развертыванием ransomware Maui в России, Индии и Юго-Восточной Азии, поэтому группа угроз часто фокусируется на получении прибыли.

EarlyRAT используется АРТ для сбора системной информации со взломанных устройств и отправки ее на C2-сервер злоумышленника.

Лаборатория обнаружила EarlyRAT в ходе расследования кампании Andariel в середине 2022 года, когда злоумышленники использовали Log4Shell для взлома корпоративных сетей.

Воспользовавшись уязвимостью в ПО Log4j, Andariel загрузил готовые инструменты, такие как 3Proxy, Putty, Dumpert и Powerline, для проведения сетевой разведки, кражи учетных данных и бокового перемещения.

Аналитики также заметили в этих атаках фишинговый документ, в котором использовались макросы для получения полезной нагрузки EarlyRAT с сервера, связанного с прошлыми кампаниями вымогателей Maui.

EarlyRAT — это достаточно простой инструмент, который при запуске собирает системную информацию и отправляет ее на C2-сервер через POST-запрос.

Второй основной функцией EarlyRAT является выполнение команд в зараженной системе, возможно, для загрузки дополнительных полезных данных, эксфильтрации ценных данных или прерывания системных операций.

При этом EarlyRAT очень похож на MagicRAT, еще один инструмент, используемый Lazarus, функции которого включают создание запланированных задач и загрузку дополнительных вредоносных программ с C2.

Исследователи заметили, что наблюдаемые действия EarlyRAT выполнялись неопытным оператором, учитывая количество допущенных ошибок и опечаток.

Различные команды, выполняемые на взломанных сетевых устройствах, вводились вручную, а не жестко закодированы, что часто приводило к ошибкам, вызванным опечатками.

Кстати, во многом благодаря аналогичной небрежности, когда оператор группы забыл подрубить прокси и спалил свой IP-адрес, аналитики WithSecure смогли отследить кампанию Lazarus в прошлом году. (Secator)