Новый троянец кибергруппы Andariel
Как сообщила «Лаборатория Касперского», ее эксперты обнаружили новый инструмент в арсенале кибергруппы Andariel, входящей в состав Lazarus. Это троянец удаленного доступа, который получил название EarlyRat, – Andariel использует его наряду с шпионской программой DTrack и вымогателем Maui.
Первичное заражение происходит с помощью эксплойта Log4j. Анализируя один из случаев его использования, эксперты компании и обнаружили версию троянца EarlyRat. В ходе исследования выяснилось, что вредоносное ПО может попадать на устройство через уязвимость, найденную с помощью Log4j, либо через ссылки в фишинговых документах.
В «Лаборатории Касперского» воссоздали процесс выполнения команд и полагают, что их реализовал оператор-человек, с большой степенью вероятности неопытный. Об этом говорят многочисленные ошибки и опечатки, например, Prorgam вместо Program.
Зловред EarlyRat, как и другие троянцы удаленного доступа (Remote Access Trojan, RAT), собирает системную информацию после активации и передает ее на контрольно-командный сервер по определенному шаблону. Передаваемые данные включают уникальные идентификаторы зараженных машин и запросы, которые шифруются с использованием этих идентификаторов.
В плане функциональности троянец EarlyRat отличается простотой и в основном ограничивается выполнением команд. Он имеет высокий уровень сходства с программой MagicRat, которая входит в арсенал Lazarus, включая использование фреймворков (QT для MagicRat и PureBasic для EarlyRat) и ограниченную функциональность обоих троянцев.
Чтобы минимизировать риски целевых кибератак, «Лаборатория Касперского» рекомендует предоставить центру мониторинга безопасности (SOC) доступ к сервисам с актуальными данными о киберугрозах (Threat intelligence); для выявления, расследования и устранения киберинцидентов на конечных точках использовать решения EDR; в дополнение к защите конечных точек внедрить на корпоративном уровне решение, способное выявлять сложные угрозы на сетевом уровне на ранней стадии; повышать цифровую грамотность сотрудников с помощью специальных тренингов.