Kaspersky scopre una nuova famiglia di malware utilizzata da Andariel, sottogruppo di Lazarus

Nel corso di una ricerca non collegata, Kaspersky si è imbattuta nella campagna di Andariel e ha deciso di indagare più a fondo. In questo modo, i ricercatori hanno scoperto una famiglia di malware non ancora documentata e hanno identificato ulteriori tattiche, tecniche e procedure (TTP) utilizzate da Andariel.

Le infezioni sono state lanciate da Andariel sfruttando un exploit Log4j, che consente di scaricare un altro malware dall’infrastruttura di comando e controllo (C2). Sebbene la parte iniziale del malware scaricato non sia ancora stata intercettata, è stato osservato che la backdoor DTrack è stata successivamente installata poco dopo l’exploit Log4j.

Un aspetto interessante di questa indagine è emerso quando Kaspersky è riuscita a replicare i comandi eseguiti dagli operatori che si celavano dietro la campagna Andariel. È risultato evidente che questi comandi erano eseguiti da un operatore umano, che presumibilmente si era unito di recente all’operazione, come dimostrano i numerosi errori e refusi commessi, ad esempio, “Prorgam” anziché “Program”.

Inoltre, i ricercatori di Kaspersky hanno rilevato una versione di EarlyRat nei file Log4j. Inizialmente è stato ipotizzato che EarlyRat fosse stato scaricato attraverso la vulnerabilità Log4j, ma ulteriori indagini hanno permesso di scoprire che era stato distribuito tramite documenti di phishing.

EarlyRat, come molti altri Remote Access Trojan (RAT), raccoglie informazioni sul sistema al momento dell’attivazione e le trasmette al server C2, utilizzando un modello specifico. I dati trasmessi includono gli identificativi unici della macchina (ID) e le query, che sono criptate utilizzando chiavi crittografiche specifiche nel campo ID.

In termini di funzionalità, EarlyRat è semplice e si limita all’esecuzione dei comandi. È interessante notare che EarlyRat condivide alcune analogie di alto livello con MagicRat – malware precedentemente distribuito da Lazarus – come l’utilizzo di framework (QT per MagicRat e PureBasic per EarlyRat) e funzionalità limitate di entrambi i RAT.

“Nel vasto panorama del cybercrime, incontriamo numerosi attori e gruppi che operano in strutture flessibili. È comune che i gruppi adottino i codici di altri e persino gli affiliati, che possono essere considerati enti indipendenti, passano per diversi tipi di malware. Ad aumentare la complessità, i sottogruppi APT come Andariel si impegnano in attività tipiche della criminalità informatica come la distribuzione di ransomware. Focalizzandoci su tattiche, tecniche e procedure (TTP), come abbiamo fatto con Andariel, possiamo ridurre significativamente i tempi di attribuzione e rilevamento degli attacchi nelle fasi iniziali”, ha dichiarato Jornt van der Wiel, Senior Security Researcher, GReAT di Kaspersky.