گروه هکری مرتبط با کره شمالی که به نام Andariel شناخته میشود، از بدافزاری ثبتنشدهای به نام EarlyRat در حملات فیشینگ استفاده کرد و قطعه دیگری را به مجموعه ابزارهای گسترده گروه اضافه کرد.کسپرسکی (kaspersky) در گزارشی جدید گفت: «Andariel با اجرای یک آسیبپذیری Log4j، دستگاهها را آلوده میکند، و درنتیجه، بدافزارهای بیشتری را از سرور فرمان و کنترل (C2) دانلود میکند.
Andariel، که به نام Silent Chollima و Stonefly نیز شناخته میشود، با واحد هکینگ اصلی کره شمالی، به نام Lab 110 مرتبط است. این واحد همچنین شامل APT38 معروف به (BlueNoroff) و سایر عناصر زیرمجموعه است که بهطورکلی تحت نام گروه Lazarus فعالیت میکنند
عامل تهدید، علاوه بر انجام حملات جاسوسی علیه نهادهای دولتی و نظامی خارجی که دارای منافع استراتژیک هستند، بهعنوان یک منبع درآمد اضافی برای کشور تحریم شده شناختهشده است.
برخی از ابزارهای سایبری کلیدی استفادهشده در حملات آنها شامل یک نوع باج افزار به نام Maui و تعداد زیادی بدافزار دسترسی از راه دور و Backdoor مانند Dtrack (معروف به Valefor و Preft)، NukeSped (معروف به Manuscrypt)، MagicRAT و YamaBot است.
NukeSped شامل طیف وسیعی از ویژگیها برای ایجاد و خاتمه پروسس ها و جابجایی، خواندن و نوشتن فایلها در سرور آلوده است. استفاده از NukeSped با کمپینی که توسط سازمان امنیت سایبری و زیرساختهای آمریکا (CISA) تحت عنوان TraderTraitor پیگیری میشود، همپوشانی دارد.استفاده از آسیبپذیری Log4Shell توسط Andariel در سرورهای VMware Horizon بدون پچهای اصلاحشده قبلاً توسط مرکز پاسخگویی اضطراری امنیتی AhnLab و Cisco Talos در سال ۲۰۲۲ مستند شده است.
آخرین زنجیره حمله کشفشده توسط Kaspersky نشان میدهد که EarlyRat از طریق ایمیلهای فیشینگ حاوی اسناد کلیدی Microsoft Word منتشر میشود. هنگام باز کردن فایلها، دریافتکنندگان به فعال کردن ماکروها تشویق میشوند که منجر به اجرای کد VBA مسئول برای دانلود تروجان میشود.EarlyRat که بهعنوان یک Backdoor ساده اما محدود توصیف میشود، برای جمعآوری و استخراج اطلاعات سیستم به یک سرور راه دور و همچنین اجرای دستورات دلخواه طراحیشده است. همچنین شباهتهای سطح بالایی با MagicRAT دارد، البته که با استفاده از چارچوبی به نام PureBasic نوشتهشده است. از سوی دیگر، MagicRAT از چارچوب Qt استفاده میکند.
در حملاتی که در سال گذشته از آسیبپذیری Log4j Log4Shell مشاهده شد، یک ابزار بینظیر دیگر مشاهده شد که مربوط به استفاده از ابزارهای قابلخرید خارجی و معتبر مانند ۳Proxy، ForkDump، NTDSDumpEx، Powerline و PuTTY برای بهرهبرداری بیشتر از هدف است.
Kaspersky گفت: “اگرچه گروه APT لازاروس برای انجام وظایف معمول جرم سایبری مانند استقرار باج افزار شناختهشده است، اما این امر منجر به پیچیدهتر شدن جرائم سایبری میشود.” “علاوه بر این، این گروه از ابزارهای سفارشی متنوعی استفاده میکند و بهطور مداوم بدافزارهای موجود را بهروزرسانی کرده و بدافزارهای را جدید توسعه میدهد.”
مطالب مرتبط
نقص ‘nOAuth’ در Microsoft Azure AD
به علت اختلال در خطوط ورودی پارس تدوین، لطفاً موقتاً با شماره ۰۲۱۸۸۵۶۹۴۴۶ تماس بگیرید.
همچنین میتوانید مشکلات خود را به ما از طریق ایمیل ارسال کنید تا کارشناسان ما در اولین فرصت با شما تماس بگیرند: [email protected].