Эксперты «Лаборатории Касперского» обнаружили новый инструмент в арсенале хак-группы Andariel, которая входит в состав Lazarus. Троян удаленного доступа получил название EarlyRat, и исследователи считают, что Andariel использует его наряду с шпионским ПО DTrack и вымогателем Maui.
Первичное заражение осуществляется с помощью эксплоита Log4j и, анализируя один из случаев его использования, эксперты обнаружили версию трояна EarlyRat. В ходе его изучения выяснилось, что малварь может проникать на устройство через уязвимость, найденную с помощью Log4j, либо через ссылки в фишинговых документах.
Эксперты «Лаборатории Касперского» смогли воссоздать процесс выполнения команд. Оказалось, что их реализовывал оператор-человек, с большой степенью вероятности неопытный. Об этом свидетельствовали многочисленные ошибки и опечатки, например «Prorgam» вместо «Program».
EarlyRat, как и многие другие трояны удаленного доступа (Remote Access Trojan, RAT), собирает системную информацию после активации и передает ее на управляющий сервер по определенному шаблону. Данные, которые он передает, включают в себя уникальные идентификаторы зараженных машин и запросы, которые шифруются с использованием этих идентификаторов.
Что касается функциональности, EarlyRat отличается простотой и в основном ограничивается выполнением команд. Также отмечается, что он имеет высокий уровень сходства с MagicRat —вредоносной программой, которая входит в арсенал Lazarus. В числе сходств — использование фреймворков (QT для MagicRat и PureBasic для EarlyRat) и ограниченная функциональность обоих вредоносов.
«Мы видим множество кибергрупп, состав которых видоизменяется. Для них обычная практика — адаптировать код других кибергрупп, в том числе аффилированных организаций, которые могут восприниматься как независимые структуры, переключаясь между разными типами вредоносных программ. Вдобавок к сложным операциям подгруппы, такие как Andariel в Lazarus, совершают более типичные для киберпреступности действия, например, внедряют программы-вымогатели. Знание тактик, техник и процедур, как в случае с Andariel, позволяет значительно сократить время на атрибуцию и обнаруживать атаки на ранней стадии», — комментирует Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз.