新发现的远程访问木马:EarlyRat
关键要点
- Kaspersky 研究人员发现了一种名为 EarlyRat 的新型远程访问木马(RAT),与北朝鲜的网络攻击活动相关联。
- EarlyRat 利用 Log4j 漏洞进行钓鱼攻击,属于 Andariel 高级持续威胁(APT)小组,该小组是与北朝鲜有关的网络威胁组织的一部分。
- EarlyRat 和 MagicRat 在功能和框架上有一些相似之处,但其复杂性较低。
- Andariel 在攻击过程中使用了多种现成工具,这表明其操作人员可能缺乏经验。
研究人员最近发现了一个名为 EarlyRat 的新型远程访问木马(RAT),该木马被北朝鲜的网络威胁演员在利用 Log4j漏洞的钓鱼攻击中使用。Kaspersky 的研究团队对此恶意软件的识别做出了贡献,并将 EarlyRat 木马归因于高级持续威胁(APT)小组
Andariel (又称 Stonefly ),该小组是北朝鲜国家支持的网络威胁组织 Lazarus 的一个子组。
Andariel 因为在去年中旬积极利用 Log4j 漏洞而受到关注,使用了多个恶意软件家族,包括 DTrack 和 MagicRat
。Kaspersky 的研究人员在一份研究报告中提到:“在最近的一项无关调查中,我们偶然发现了这一活动,并决定深入挖掘。”
“我们发现了一个以前未记录的恶意软件家族(EarlyRat),并且这是对 Andariel 策略、技术和程序(TTPs)的又一补充。”
研究人员指出 EarlyRat 和 MagicRat 之间有几个高级别的相似之处。“它们都是使用框架编写的:MagicRat 使用 QT,EarlyRat则使用 PureBasic。同时,这两款 RAT 的功能都非常有限。”
研究小组指出,Andariel 通过执行 Log4j 漏洞来感染计算机,从而下载其他来自该威胁团伙的恶意软件。
APT 借由操作失误暴露
Kaspersky 还发现 Andariel 使用钓鱼文档以及 Log4j 漏洞,试图在目标系统上放置
EarlyRat。“不幸的是,我们没能捕捉到他们下载的第一款恶意软件,但我们确实看到 DTrack 后门紧随其后被下载。”研究人员表示。
Kaspersky 确定,Andariel 使用了多种现成的工具,在攻击的命令执行阶段进行安装和运行,包括 SupRemo
远程桌面工具、3Proxy 通用代理服务器和开源终端模拟器应用 Putty 。
研究人员能够重现攻击者执行的命令,并发现这些攻击是由一名人类操作员执行的,鉴于出现了大量的错误和拼写错误,推测其可能经验不足。在一个命令行中,操作员拼错了“Program”。
“另一个有趣的时刻是,当操作员意识到他们处于使用葡萄牙语区域设置的系统时。这花费了意外的时间。”研究人员写道。
新型恶意软件表现平平
该团伙使用的钓鱼文件“并不太先进”:是一份伪装成来自“Microsoft Office Team”的 Word文档,要求用户在使用的应用程序中启用宏。许多威胁团伙在 Microsoft 开始默认阻止宏以投递有效载荷后,已停止尝试使用宏。
除了 Andariel 在目标系统上投放 EarlyRat 的方法并不复杂外,这种恶意软件本身缺乏与 Lazarus 活动相关的复杂性。
研究人员表示:“在功能上,EarlyRat 非常简单。它能够执行命令,这大概是它能做的最有趣的事情。”
尽管这种恶意软件不复杂,但研究人员认为值得研究,因为 Lazarus 及其子团伙不仅参与 APT活动,还涉及“典型的网络犯罪行为,如部署勒索软件”,使用不断演变的多种工具。
“像我们对 Andariel 的分析一样,关注 TTP
有助于减少归属时间,并在早期阶段发现攻击。这些信息还可以帮助采取主动反制措施,以防止事件的发生。”
Lazarus 和 Andariel
