Descoberta nova família de malware utilizada por subgrupo do Lazarus

A Kaspersky descobriu uma nova família de malware designada EarlyRat, que está a ser utilizada pelo Andariel, um subgrupo do Lazarus.

Os investigadores identificaram táticas, técnicas e procedimentos utilizados pelo Andariel. 

A infeção começa através de um exploit Log4j, que permite o download de malware adicional a partir da infraestrutura de comando e controlo. Os investigadores detetaram que o backdoor DTrack foi transferido pouco depois do exploit Log4j. Outra das descobertas está ligada a uma versão do EarlyRat num dos casos do Log4j. As primeiras informações davam conta de que o EarlyRat tinha sido transferido através da vulnerabilidade Log4j. No entanto, a investigação revelou que foram documentos de phishing que acabaram por implementar o EarlyRat, responsável por recolher informações do sistema após a ativação, transmitindo-as depois ao servidor C2. Entre estes dados encontram-se identificadores únicos de máquina.

À semelhança de outros malwares, como o MagicRat, implantado anteriormente pelo Lazarus, o EarlyRat utiliza Frameworks (PureBasic) e a funcionalidade restrita de Trojan de Acesso Remoto (RAT).

“Para aumentar a complexidade, os subgrupos de grupos APT, como o Andariel do Lazarus, dedicam-se a atividades típicas da cibercriminalidade, como a distribuição de ransomware. Ao concentrarmo-nos nas táticas, técnicas e procedimentos (TTPs), como fizemos com o Andariel, podemos reduzir significativamente o tempo de atribuição e detetar ataques nas suas fases iniciais”, explicou Jornt van der Wiel, investigador de segurança sénior, GReAT na Kaspersky.