EarlyRat マルウェア

サイバーセキュリティ研究者は、北朝鮮に関連する脅威アクター Andariel が、新たに発見された EarlyRat と呼ばれるマルウェアを利用して武器を拡大していることに気づきました。これまで知られていなかった悪意のあるツールが、フィッシング キャンペーンで攻撃者によって導入されました。この追加により、Andariel の幅広いツールと戦術がさらに強化されました。

標的のマシンに感染するために、Andariel サイバー犯罪者は Log4j ログ ライブラリの脆弱性を利用して Log4j エクスプロイトを利用します。このエクスプロイトを通じて、脅威アクターは侵害されたシステムにアクセスし、攻撃操作のコマンドアンドコントロール (C2) サーバーから追加のマルウェアのダウンロードを開始します。

アンダリエルは他の北朝鮮ハッカーグループとつながっている

Andariel は別名 Silent Chollima や Stonefly としても知られ、APT38 (別名 BlueNoroff) などの他の従属要素とともにLazarus グループの傘下で活動しています。この攻撃者は、北朝鮮に拠点を置く著名なハッキング部隊である Lab 110 とも関係しています。

アンダリエルの活動には、外国政府や戦略的に重要な軍事組織を標的としたスパイ活動など、幅広い作戦が含まれる。さらに、このグループは、厳しい制裁を受けている国家に副収入を得るためにサイバー犯罪活動にも従事しています。

アンダリエルの兵器庫には、悪名高いマウイ ランサムウェアを含むさまざまなサイバー兵器が含まれています。さらに、このグループは、 Dtrack (Valefor および Preft としても知られる)、 NukeSped (別名 Manuscrypt)、 MagicRAT 、 yamaBotなど、多数のリモート アクセス トロイの木馬やバックドアを利用しています。

特に、NukeSped は、プロセスの作成と終了、および侵害されたホスト上のファイルの操作を可能にする幅広い機能を備えています。特に、NukeSped の使用は、米国サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) によって追跡されている TraderTraitor として知られるキャンペーンと重複しています。

Andariel によるパッチ未適用の VMware Horizon サーバの Log4Shell 脆弱性の悪用は、2022 年に AhnLab Security Emergency Response Center (ASEC) と Cisco Talos によって以前に文書化されており、新たな脆弱性を兵器化するための同グループの継続的な取り組みが浮き彫りになっています。

EarlyRat は情報を収集し、侵害されたデバイス上で侵入コマンドを実行します

EarlyRat マルウェアは、不正な Microsoft Word ドキュメントを含むフィッシングメールを通じて拡散します。これらのファイルを開くと、受信者はマクロを有効にするよう求められ、脅威のダウンロードに関与する VBA コードの実行がトリガーされます。

EarlyRat は、システム情報を収集してリモート サーバーに送信するように設計された、単純だが限定されたバックドアとして特徴付けられます。さらに、任意のコマンドを実行する機能もあります。特に、EarlyRat と MagicRAT の間には、異なるフレームワークを使用して記述されているにもかかわらず、顕著な類似点があります。 EarlyRat は PureBasic を使用しますが、MagicRAT は Qt フレームワークを使用します。

前年に観察された Log4j Log4Shell の脆弱性を悪用した攻撃の文脈で、これまで見たことのない戦術が登場しました。攻撃者は、 3Proxy 、 ForkDump、 NTDSDumpEx、 Powerline、 PuTTYなどの正規の既製ツールを利用して、ターゲットや侵害されたデバイスをさらに悪用することが観察されています。このアプローチにより、悪意のある活動に既存のツールを活用できるようになり、攻撃の高度化と潜在的な影響が増大します。