L’acteur menaçant aligné sur la Corée du Nord connu sous le nom de andariel exploité un logiciel malveillant auparavant non documenté appelé EarlyRat dans des attaques exploitant la vulnérabilité Log4j Log4Shell l’année dernière.
« Andariel infecte les machines en exécutant un exploit Log4j, qui, à son tour, télécharge d’autres logiciels malveillants à partir du serveur de commande et de contrôle (C2) », Kaspersky a dit dans un nouveau rapport.
Également appelé Silent Chollima et Stonefly, Andariel est associé au Lab 110 de Corée du Nord, une unité de piratage principale qui abrite également APT38 (alias BlueNoroff) et d’autres éléments subordonnés suivis collectivement sous le nom générique. Groupe Lazare.
L’acteur de la menace, en plus de mener des attaques d’espionnage contre des gouvernements étrangers et des entités militaires d’intérêt stratégique, est connu pour mener des cybercrimes comme source de revenus supplémentaire pour la nation frappée par les sanctions.
Certaines des principales cyber-armes de son arsenal comprennent une souche de rançongiciel appelée Maui et de nombreux chevaux de Troie et portes dérobées d’accès à distance tels que Dtrack (alias Valefor et Preft), NukeSped (alias Manuscrypt), MagicRAT et YamaBot.
NukeSped contient une gamme de fonctionnalités pour créer et terminer des processus et déplacer, lire et écrire des fichiers sur l’hôte infecté. L’utilisation de NukeSped chevauche une campagne suivie par la US Cybersecurity and Infrastructure Security Agency (CISA) sous le nom de TraderTraitor.
La militarisation par Andariel de la vulnérabilité Log4Shell dans les serveurs VMware Horizon non corrigés a déjà été documentée par AhnLab Security Emergency Response Center (ASEC) et Cisco Talos en 2022.
La dernière chaîne d’attaque découverte par Kaspsersky montre qu’EarlyRat se propage au moyen d’e-mails de phishing contenant des documents Microsoft Word leurres. Les fichiers, lorsqu’ils sont ouverts, invitent les destinataires à activer les macros, entraînant l’exécution du code VBA responsable du téléchargement du cheval de Troie.
Décrit comme une porte dérobée simple mais limitée, EarlyRat est conçu pour collecter et exfiltrer des informations système vers un serveur distant ainsi que pour exécuter des commandes arbitraires. Il partage également des similitudes de haut niveau avec MagicRAT, sans parler de l’écriture à l’aide d’un framework appelé PureBasic. MagicRAT, d’autre part, utilise le Qt Framework.
Une autre caractéristique de l’intrusion est l’utilisation d’outils légitimes prêts à l’emploi comme 3Proxy, ForkDump, NTDSDumpEx, Powerline et PuTTY pour une exploitation plus poussée de la cible.
« Bien qu’il s’agisse d’un groupe APT, Lazarus est connu pour effectuer des tâches typiques de cybercriminalité, telles que le déploiement de rançongiciels, ce qui complique le paysage de la cybercriminalité », a déclaré Kaspersky. « De plus, le groupe utilise une grande variété d’outils personnalisés, mettant constamment à jour les logiciels malveillants existants et développant de nouveaux. »