El actor de amenazas alineado con Corea del Norte conocido como Andariel aprovechó un malware previamente no documentado llamado EarlyRat en ataques que explotaron la vulnerabilidad Log4j Log4Shell el año pasado.
“Andariel infecta las máquinas mediante la ejecución de un exploit Log4j que, a su vez, descarga más malware del servidor de comando y control (C2)”, Kaspersky dicho en un nuevo informe.
También llamado Silent Chollima y Stonefly, Andariel está asociado con el Laboratorio 110 de Corea del Norte, una unidad de piratería principal que también alberga APT38 (también conocido como azulnoroff) y otros elementos subordinados rastreados colectivamente bajo el nombre general Grupo Lázaro.
El actor de amenazas, además de realizar ataques de espionaje contra gobiernos extranjeros y entidades militares que son de interés estratégico, es conocido por llevar a cabo delitos cibernéticos como una fuente adicional de ingresos para la nación afectada por las sanciones.
Algunas de las armas cibernéticas clave en su arsenal incluyen una variedad de ransomware conocida como Maui y numerosos troyanos de acceso remoto y puertas traseras como Dtrack (también conocido como Valefor y Preft), NukeSped (también conocido como Manuscrypt), MagicRAT y YamaBot.
NukeVelocidad contiene una variedad de funciones para crear y finalizar procesos y mover, leer y escribir archivos en el host infectado. El uso de NukeSped se superpone con una campaña rastreada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) bajo el nombre TraderTraitor.
El uso de Andariel de la vulnerabilidad Log4Shell en servidores VMware Horizon sin parches fue documentado previamente por AhnLab Security Emergency Response Center (ASEC) y Cisco Talos en 2022.
La última cadena de ataque descubierta por Kaspsersky muestra que EarlyRat se propaga por medio de correos electrónicos de phishing que contienen documentos de Microsoft Word señuelo. Los archivos, cuando se abren, solicitan a los destinatarios que habiliten las macros, lo que lleva a la ejecución del código VBA responsable de descargar el troyano.
Descrito como una puerta trasera simple pero limitada, EarlyRat está diseñado para recopilar y extraer información del sistema a un servidor remoto, así como para ejecutar comandos arbitrarios. También comparte similitudes de alto nivel con MagicRAT, sin mencionar que está escrito usando un marco llamado PureBasic. MagicRAT, por otro lado, emplea Qt Framework.
Otra característica de la intrusión es el uso de herramientas legítimas comerciales como 3Proxy, ForkDump, NTDSDumpEx, Powerline y PuTTY para una mayor explotación del objetivo.
“A pesar de ser un grupo APT, Lazarus es conocido por realizar tareas típicas de ciberdelincuencia, como implementar ransomware, lo que complica el panorama de la ciberdelincuencia”, dijo Kaspersky. “Además, el grupo utiliza una amplia variedad de herramientas personalizadas, actualizando constantemente el malware existente y desarrollando nuevo”.