Güvenlik analistleri, Lazarus Kuzey Kore devlet destekli hackleme grubunun bir alt grubu olan Andariel tarafından kullanılan daha önce belgelenmemiş bir uzaktan erişim Trojan'ı (Rat) keşfettiler.
Andariel'in (Stonefly olarak da bilinir), tarama geçmişi, yazılan veriler (keylogging), ekran görüntüleri, çalışma süreçleri ve daha fazlası gibi uzlaşılmış sistemlerden bilgi toplamak için DTrack modüler arka kapıyı kullanmakla bilinen Lazarus Hacking Grubunun bir parçası olduğuna inanılıyor.
Withecure'den daha yeni bir raporda, daha yeni bir DTrack varyantı, muhtemelen Andariel kullanan bir Kuzey Koreli grubun iki ay boyunca değerli fikri mülkiyet topladığı keşfedildi.
Kaspersky ayrıca Andariel'i Rusya, Hindistan ve Güneydoğu Asya'daki Maui Fidye Yazılımı dağıtımlarına bağladı, bu nedenle tehdit grubu genellikle gelir elde etmeye odaklanıyor.
Hacking Grubu, ihlal edilen cihazlardan sistem bilgilerini toplamak ve saldırganın C2 (Komut ve Kontrol) sunucusuna göndermek için EarlyRat kullanır.
Kaspersky'den gelen sıçanın keşfi, grubun Arsenal bulmacasına başka bir parça ekler ve savunucuların ilişkili müdahaleleri tespit etmesine ve durdurmasına yardımcı olur.
Kaspersky, 2022'nin ortalarından bir Andariel kampanyasını araştırırken Larrat'ı keşfetti ve burada tehdit aktörleri kurumsal ağları ihlal etmek için Log4shell'den yararlandı.
Log4J yazılımındaki kusurdan yararlanarak Andariel, ağ keşfi, kimlik bilgisi çalma ve yanal hareket gerçekleştirmek için 3proxy, macun, dumpert ve powerline gibi hazır araçları indirdi.
Analistler ayrıca, bu saldırılarda, geçmiş Maui fidye yazılımı kampanyalarıyla ilişkili bir sunucudan bir erken yük yükü almak için makro kullanan bir kimlik avı belgesi fark ettiler.
EarlyRat, başlatıldıktan sonra sistem bilgilerini toplayan ve bir posta isteği aracılığıyla C2 sunucusuna gönderen basit bir araçtır.
EarlyRat'ın ikinci birincil işlevi, enfekte olmuş sistemdeki komutları yürütmek, muhtemelen ek yükler indirmek, değerli verileri yaymak veya sistem işlemlerini engellemektir.
Kaspersky bu cephede ayrıntılı bir şekilde detaylandırmıyor, ancak Lazarus tarafından kullanılan, işlevleri planlanan görevlerin oluşturulmasını ve C2'den ek kötü amaçlı yazılımlar indirmeyi içeren başka bir araç olan MagicRat'a çok benzediğini söylüyor.
Araştırmacılar, incelenen EarlyRat faaliyetlerinin, hata ve yazım hatalarının sayısı göz önüne alındığında, deneyimsiz bir insan operatörü tarafından yürütüldüğünü söylüyorlar.
İhlal edilen ağ cihazlarında yürütülen çeşitli komutların manuel olarak yazıldığı ve sert kodlanmadığı ve genellikle tipo kaynaklı hatalara yol açtığı gözlendi.
Benzer dikkatsizlik, geçen yıl Secure'nin analistlerine bir Lazarus kampanyası ortaya çıkardı ve grubun bir operatörünün iş günlerinin başında bir vekil kullanmayı ve Kuzey Kore IP adreslerini ortaya çıkarmayı unuttuğunu gördü.
35 milyon dolarlık atom cüzdanı soyguna bağlı Lazarus hackerları
Yeni 'PowerDrop' PowerShell kötü amaçlı yazılım hedefleri ABD havacılık endüstrisi
50.000 kurulum ile uygulamada gizli yeni Ahrat Android kötü amaçlı yazılım
Gizli Seroxen Sıçan Kötü Yazılım Giderek Oyuncuları Hedeflemek İçin Kullanılır
Romcom kötü amaçlı yazılım, chatgpt, gimp, daha fazla google reklamları aracılığıyla yayıldı
Kaynak: Bleeping Computer