มัลแวร์ EarlyRAT ตัวใหม่ เชื่อมโยงกับกลุ่มแฮ็กเกอร์ Andariel ของเกาหลีเหนือ

นักวิเคราะห์ด้านความปลอดภัยพบ remote access trojan (RAT) ชื่อ 'EarlyRAT' ซึ่งถูกใช้งานโดย Andariel ซึ่งเป็นกลุ่มย่อยของกลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนือที่ได้รับการสนับสนุนโดยรัฐบาล

Andariel (หรือที่รู้จักในชื่อ Stonefly) เป็นส่วนหนึ่งของกลุ่มแฮ็กเกอร์ Lazarus ที่รู้จักกันในการใช้โมดูลแบ็คดอร์ DTrack เพื่อรวบรวมข้อมูลจากระบบที่ถูกโจมตี เช่น ประวัติการท่องเว็บ ข้อมูลที่พิมพ์ (keylogging), ภาพหน้าจอ, กระบวนการทำงาน และอื่น ๆ

ในรายงานล่าสุดจาก WithSecure พบว่ากลุ่มเกาหลีเหนือที่ใช้ DTrack รุ่นใหม่กว่า อาจจะเป็น Andariel ซึ่งได้ทำการรวบรวมข้อมูลที่มีมูลค่ามาเป็นเวลากว่าสองเดือน

Kaspersky ยังเชื่อมโยง Andariel เข้ากับการติดตั้ง Maui ransomware ในรัสเซีย อินเดีย และเอเชียตะวันออกเฉียงใต้ ดังนั้นแสดงให้เห็นว่ากลุ่มแฮ็กเกอร์มักมุ่งเน้นไปที่การสร้างรายได้เป็นหลัก

กลุ่มแฮ็กเกอร์ใช้ Early.RAT เพื่อรวบรวมข้อมูลระบบจากอุปกรณ์ที่ถูกโจมตี และส่งข้อมูลออกไปยัง C2 (command and control) server ของผู้โจมตี

EarlyRAT

Kaspersky พบ EarlyRAT ขณะตรวจสอบแคมเปญการโจมตีของ Andariel ในช่วงกลางปี ​​2022 ซึ่งผู้โจมตีใช้ประโยชน์จากช่องโหว่ Log4Shell เพื่อเจาะระบบเครือข่ายขององค์กร

Andariel ใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ Log4j โดยดาวน์โหลดเครื่องมือที่มีอยู่ทั่วไป เช่น 3Proxy, Putty, Dumpert และ Powerline เพื่อทำการสำรวจเครือข่าย การขโมยข้อมูล credential และการโจมตีต่อไปยังระบบอื่น ๆ ในเครือข่าย

นักวิเคราะห์ยังสังเกตเห็นการใช้เอกสาร phishing ในการโจมตี ซึ่งใช้มาโครเพื่อเรียก EarlyRAT payload จาก Server ที่เกี่ยวข้องกับแคมเปญ Maui ransomware ที่ผ่านมา

EarlyRAT เมื่อเริ่มทำงานจะรวบรวมข้อมูลในระบบ และส่งข้อมูลออกไปยัง C2 Server ผ่านทาง POST request

หน้าที่อย่างที่สองของ EarlyRAT คือดำเนินการคำสั่งบนระบบที่ติดมัลแวร์ ซึ่งอาจดาวน์โหลด payload เพิ่มเติม ขโมยข้อมูลที่มีความสำคัญ หรือขัดขวางการทำงานของระบบ

Kaspersky ไม่ได้ให้รายละเอียดเพิ่มเติม แต่ EarlyRAT นั้นคล้ายกับ MagicRAT ซึ่งเป็นเครื่องมือหนึ่งที่ Lazarus ใช้ ซึ่งฟังก์ชั่นเหล่านี้รวมถึงการสร้าง Schedule Task และการดาวน์โหลดมัลแวร์เพิ่มเติมจาก C2 Server

นักวิจัยระบุว่าพฤติกรรมของ EarlyRAT ที่นำมาวิเคราะห์นั้น ถูกดำเนินการโดยผู้โจมตีที่ไม่มีประสบการณ์มากนัก สังเกตได้จากจำนวนข้อผิดพลาด และการพิมพ์ผิด

โดยพบว่าคำสั่งต่าง ๆ ที่ดำเนินการบนอุปกรณ์เครือข่ายที่บุกรุกถูกพิมพ์ด้วยตนเอง และไม่ได้ hardcoded ไว้ ซึ่งมักทำให้เกิดข้อผิดพลาดในการพิมพ์

เหตุการณ์คล้าย ๆ กันที่ถูกเปิดเผยจากแคมเปญของ Lazarus โดยนักวิเคราะห์ของ WithSecure เมื่อปีที่แล้ว ซึ่งพบว่าผู้ดำเนินการของกลุ่มลืมใช้พร็อกซีเมื่อเริ่มต้นการทำงาน ทำให้มีการเปิดเผยที่อยู่ IP ซึ่งระบุได้ว่ามาจากเกาหลีเหนือ

 

ที่มา : bleepingcomputer