Grupi i hakerëve të Koresë së Veriut Andariel përdor një pjesë të padokumentuar më parë të malware të quajtur EarlyRat në sulme që shfrytëzojnë dobësinë Log4j. Zbuloni se si funksionojnë dhe cilat janë armët e tyre kibernetike.
Andariel, një grup hakerash i lidhur me Korenë e Veriut, shfrytëzoi një malware të padokumentuar të quajtur EarlyRat në sulmet që shfrytëzuan cenueshmërinë Log4j vitin e kaluar.
Përveç kryerjes së sulmeve spiunazhi kundër qeverisë së huaj dhe subjekteve ushtarake me interes strategjik, grupi njihet për kryerjen e krimeve kibernetike si një burim shtesë të ardhurash për kombin e sanksionuar.
Metodat e infektimit dhe kontrollit
Andariel infekton makinat duke ekzekutuar një shfrytëzim Log4j, i cili nga ana tjetër shkarkon më shumë malware nga serveri i komandës dhe kontrollit.
Sipas një raporti të ri nga Kaspersky, EarlyRat po përhapet përmes emaileve phishing që përmbajnë dokumente false të Microsoft Word. Kur hapen skedarët, marrësve u kërkohet të aktivizojnë makro, gjë që çon në ekzekutimin e kodit VBA përgjegjës për shkarkimin e trojanit (RAT).
Karakteristikat e EarlyRat dhe armët kibernetike
EarlyRat përshkruhet si një derë e pasme e thjeshtë, por e kufizuar, e krijuar për të mbledhur dhe shfrytëzuar informacionin e sistemit në një server të largët dhe për të ekzekutuar komanda arbitrare. Ai gjithashtu ndan ngjashmëri të nivelit të lartë me MagicRAT.
Disa nga armët kibernetike kryesore në arsenalin e saj përfshijnë një variant të ransomware të quajtur Maui dhe shumë trojanë dhe dyer të pasme me akses në distancë si Dtrack, NukeSped, MagicRAT dhe YamaBot. NukeSped përmban një sërë veçorish për të krijuar dhe përfunduar proceset dhe për të lëvizur, lexuar dhe shkruar skedarë në hostin e infektuar.
Përdorimi i mjeteve legjitime për shfrytëzime të mëtejshme
Një veçori tjetër e ndërhyrjes është përdorimi i mjeteve të ligjshme lehtësisht të disponueshme si 3Proxy, ForkDump, NTDSDumpEx, Powerline dhe PuTTY për shfrytëzimin e mëtejshëm të objektivit.
Pavarësisht se është një grup APT, Lazarus ka qenë i njohur për përfshirjen në aktivitete tipike të krimit kibernetik, të tilla si vendosja e ransomware, duke e bërë më të komplikuar peizazhin e krimit kibernetik.
