Специалисты по информационной безопасности «Лаборатории Касперского» смогли выявить новый инструментарий в арсенале хакерской группировки Andariel, которая является частью крупного киберпреступного сообщества Lazarus. Это инструмент EarlyRat, который является троянцем с удаленного доступа.
По словам экспертов «Лаборатории Касперского», группировка Andariel применяет его совместно со шпионским вредоносным ПО DTrack и программой-вымогателем Maui. Специалисты рассказали, что первичное заражение целевого устройства осуществляется с использованием эксплойта Log4j. Проведя анализ одного из случаев эксплуатации уязвимости, эксперты «Лаборатории Касперского» смогли обнаружить версию троянца EarlyRat.
В ходе исследования выяснилось, что вредоносное ПО может проникнуть на устройство через уязвимость, найденную с помощью Log4j, а также через ссылки в фишинговых документах.
Специалисты «Лаборатории Касперского» смогли проанализировать процесс выполнения команд и обнаружили, что он осуществляется оператором, судя по всему, неопытным киберпреступником. Об этом свидетельствуют многочисленные ошибки и опечатки.
Как и другие виды троянцев удалённого доступа, EarlyRat осуществляет сбор данных, а после активации на целевом устройстве отправляет их на командный сервер. Сведения, которые передает троянец, включают в себя уникальные идентификаторы целевых устройств и запросы, которые шифруются с использованием этих идентификаторов.
Игорь Кузнецов, глава Глобального центра исследований и анализа угроз «Лаборатории Касперского», подчеркнул, что сейчас можно наблюдать огромное количество киберпреступных групп, которые постоянно меняют свои тактики. Стандартной практикой для них является адаптация кода других хакерских групп, в том числе аффилированных организаций, которые изначально могут казаться независимыми.
Сложные операции, например, как Andariel группировка Lazarus, совершают типичные действия, включая активное проведение кибератак с использованием вымогательского ПО. Знание тактик, техник и процедур, как в случае с хакерской группировкой Andariel, позволяет существенно уменьшить время на атрибуцию и выявление кибератаки на ранних стадиях, резюмировал Игорь Кузнецов.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.