Эксперты «Лаборатории Касперского» обнаружили новый инструмент в арсенале кибергруппы Andariel, которая входит в состав Lazarus. Это троянец удалённого доступа, который получил название EarlyRat. Andariel использует его наряду с шпионской программой DTrack и вымогателем Maui.
Первичное заражение происходит с помощью эксплойта Log4j. Анализируя один из случаев его использования, эксперты «Лаборатории Касперского» обнаружили версию троянца EarlyRat. В ходе исследования выяснилось, что зловред может попадать на устройство через уязвимость, найденную с помощью Log4j, либо через ссылки в фишинговых документах.
Эксперты «Лаборатории Касперского» смогли воссоздать процесс выполнения команд. Выяснилось, что их реализовывал оператор-человек, с большой степенью вероятности неопытный. Об этом свидетельствуют многочисленные ошибки и опечатки, например «Prorgam» вместо «Program».
Зловред EarlyRat, как и многие другие троянцы удалённого доступа (Remote Access Trojan, RAT), собирает системную информацию после активации и передает её на контрольно-командный сервер по определённому шаблону. Данные, которые он передаёт, включают в себя уникальные идентификаторы заражённых машин и запросы, которые шифруются с использованием этих идентификаторов.
Что касается функциональности, троянец EarlyRat отличается простотой и в основном ограничивается выполнением команд. Он имеет высокий уровень сходства с MagicRat — вредоносной программой, которая входит в арсенал Lazarus. В числе сходств — использование фреймворков (QT для MagicRat и PureBasic для EarlyRat) и ограниченная функциональность обоих троянцев.
«Мы видим множество кибергрупп, состав которых видоизменяется. Для них обычная практика — адаптировать код других кибергрупп, в том числе аффилированных организаций, которые могут восприниматься как независимые структуры, переключаясь между разными типами вредоносных программ. Вдобавок к сложным операциям подгруппы, такие как Andariel в Lazarus, совершают более типичные для киберпреступности действия, например внедряют программы-вымогатели. Знание тактик, техник и процедур, как в случае с Andariel, позволяет значительно сократить время на атрибуцию и обнаруживать атаки на ранней стадии», — комментирует Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз.
Узнать больше о кампании Andariel можно в отчёте на Securelist.ru: https://securelist.com/lazarus-andariel-mistakes-and-easyrat/110119/.
Чтобы минимизировать риски целевых кибератак, «Лаборатория Касперского» рекомендует компаниям:
- предоставить центру мониторинга безопасности (Security Operations Center, SOC) доступ к сервисам с актуальными данными о киберугрозах (Threat intelligence, TI). Например, на портале Kaspersky Threat Intelligence можно получить доступ к информации о кибератаках, собранной «Лабораторией Касперского» более чем за 25 лет;
- для выявления, расследования и своевременного устранения киберинцидентов на конечных точках использовать решения EDR, такие как Kaspersky EDR Expert;
- в дополнение к защите конечных точек внедрить на корпоративном уровне решение, которое сможет выявлять сложные угрозы на сетевом уровне на ранней стадии, например Kaspersky Anti Targeted Attack;
- поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии, необходимо повышать цифровую грамотность сотрудников с помощью специальных тренингов, например с помощью платформы Kaspersky Automated Security Awareness Platform.