Исследователи “Лаборатории Касперского” обнаружили ранее незадокументированное семейство вредоносных программ и выявили операционные ошибки, допущенные группой Andariel, фракцией северокорейской группировки Lazarus Group. “Лаборатория Касперского” в своём отчёте проанализировала тактику группы Andariel и выявила новую угрозу под названием “EarlyRat”.
Группа Andariel известна тем, что использует вредоносное ПО DTrack и программу-вымогатель Maui . Впервые Andariel привлекла внимание в середине 2022 года. Используя уязвимость ” data-html=”true” data-original-title=”Log4Shell” >Log4Shell, Andariel доставляла на целевые устройства р азличные семейства вредоносных программ , включая YamaBot и MagicRat , а также обновленные версии NukeSped и DTrack.
Расследование “Лаборатории Касперского” показало, что Andariel инициирует заражение, выполняя эксплойт Log4Shell, который загружает дополнительное вредоносное ПО с сервера управления и контроля (C2-сервер).
Примечательно, что исследователи наблюдали за выполнением команд человеком-оператором и отметили многочисленные ошибки и опечатки, предполагая, что за операцией стоял неопытный злоумышленник.
Исследователи также выявили новое семейство вредоносных программ под названием EarlyRat. Изначально предполагалось, что образцы EarlyRat загружаются через Log4Shell, но дальнейший анализ показал, что основным механизмом доставки EarlyRat были фишинговые документы.
EarlyRat, как и многие другие трояны удаленного доступа (RAT), при активации собирает системную информацию и передает ее на C2-сервер по определенному шаблону. Передаваемые данные включают в себя уникальные идентификаторы компьютеров (ID) и запросы, которые шифруются с помощью криптографических ключей, указанных в поле ID.
С точки зрения функциональности EarlyRat отличается простотой, в основном ограничиваясь выполнением команд. Интересно, что EarlyRat имеет некоторое общее сходство с вредоносной программой Lazarus MagicRat. Сходства состоят в использовании фреймворков (QT для MagicRat и PureBasic для EarlyRat) и ограниченной функциональности обоих RAT-троянов.
Впервые MagicRAT был замечен в сетях жертв , которые использовали подключенные к интернету серверы VMware Horizon. По словам исследователей, троян был создан с помощью фреймворка Qt, чтобы затруднить анализ и снизить вероятность обнаружения системами безопасности.
Чтобы закрепиться в системе, троян создает запланированные задачи. Функционал у MagicRat довольно прост – вредонос предоставляет злоумышленникам удаленную оболочку, позволяющую выполнять произвольные команды и манипулировать файлами жертвы.