研究人员发现了一个以前未记录的恶意软件家族,并揭示了朝鲜威胁行动者Lazarus Group的一个派别Andariel所犯的操作错误。
卡巴斯基在今天发布的一份咨询中描述了这些发现,分析了该组织的策略,并揭示了一个被称为“EarlyRat”的新威胁的出现。
卡巴斯基全球研究与分析团队(GReAT)的高级安全研究员Jornt van der Wiel评论说:“在庞大的网络犯罪领域,我们遇到了许多运营组合流动的玩家和团体。”
“团体从其他人那里采用代码,甚至可以将被视为独立实体的附属机构切换到不同类型的恶意软件是常见的。”
Andariel组织以使用DTrack恶意软件和Maui勒索软件而闻名。它首次在2022年中期引起了人们的注意。
利用Log4j漏洞,Andariel引入了各种恶意软件家族,包括YamaBot和MagicRat,以及NukeSped和DTrack的更新版本。
在进行无关的调查期间,卡巴斯基的研究人员发现了Andariel的活动,并决定进行深入调查。
调查显示,Andariel通过执行Log4j漏洞开始感染,该漏洞从命令和控制(C2)服务器下载额外的恶意软件。
值得注意的是,研究人员观察到由人工操作员执行的命令,并注意到了许多错误和打字错误,这表明这次操作背后的人可能是缺乏经验的个体。
研究人员还发现了被称为EarlyRat的新恶意软件家族。尽管最初被认为是通过Log4j下载的,但进一步分析揭示,钓鱼文件是EarlyRat的主要传播机制。
这种恶意软件被归类为远程访问木马(RAT),它收集系统信息,并使用特定模板与C2服务器进行通信。
van der Wiel解释说:“像Lazarus的Andariel这样的APT团体的子团体,从事典型的网络犯罪活动,如部署勒索软件。”
“正如我们对Andariel所做的那样,聚焦于战术、技术和程序(TTPs),我们可以大大缩短归因时间,并在早期阶段检测到攻击。”
卡巴斯基的这项咨询在区块链分析公司Elliptic将Lazarus Group与Atomic Wallet盗窃案联系起来的几周后发布。
原文始发于微信公众号(XDsecurity):威胁情报信息分享|Andariel的错误揭示了朝鲜 Lazarus Group 活动中的新恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论