گروه هکری مرتبط با کره شمالی که به نام Andariel شناخته می‌شود، از بدافزاری ثبت‌نشده‌ای به نام EarlyRat در حملات فیشینگ استفاده کرد و قطعه دیگری را به مجموعه ابزارهای گسترده گروه اضافه کرد.کسپرسکی (kaspersky) در گزارشی جدید گفت: «Andariel با اجرای یک آسیب‌پذیری Log4j، دستگاه‌ها را آلوده می‌کند، و درنتیجه، بدافزارهای بیشتری را از سرور فرمان و کنترل (C2) دانلود می‌کند.

Andariel، که به نام Silent Chollima و Stonefly نیز شناخته می‌شود، با واحد هکینگ اصلی کره شمالی، به نام Lab 110 مرتبط است. این واحد همچنین شامل APT38 معروف به (BlueNoroff) و سایر عناصر زیرمجموعه است که به‌طورکلی تحت نام گروه Lazarus فعالیت می‌کنند

عامل تهدید، علاوه بر انجام حملات جاسوسی علیه نهادهای دولتی و نظامی خارجی که دارای منافع استراتژیک هستند، به‌عنوان یک منبع درآمد اضافی برای کشور تحریم شده شناخته‌شده است.

برخی از ابزارهای سایبری کلیدی استفاده‌شده در حملات آن‌ها شامل یک نوع باج افزار به نام Maui و تعداد زیادی بدافزار دسترسی از راه دور و Backdoor مانند Dtrack (معروف به Valefor و Preft)، NukeSped (معروف به Manuscrypt)، MagicRAT و YamaBot است.

NukeSped شامل طیف وسیعی از ویژگی‌ها برای ایجاد و خاتمه پروسس ها و جابجایی، خواندن و نوشتن فایل‌ها در سرور آلوده است. استفاده از NukeSped با کمپینی که توسط سازمان امنیت سایبری و زیرساخت‌های آمریکا (CISA) تحت عنوان TraderTraitor پیگیری می‌شود، همپوشانی دارد.استفاده از آسیب‌پذیری Log4Shell توسط Andariel در سرورهای VMware Horizon بدون پچ‌های اصلاح‌شده قبلاً توسط مرکز پاسخگویی اضطراری امنیتی AhnLab و Cisco Talos در سال ۲۰۲۲ مستند شده است.

آخرین زنجیره حمله کشف‌شده توسط Kaspersky نشان می‌دهد که EarlyRat از طریق ایمیل‌های فیشینگ حاوی اسناد کلیدی Microsoft Word منتشر می‌شود. هنگام باز کردن فایل‌ها، دریافت‌کنندگان به فعال کردن ماکروها تشویق می‌شوند که منجر به اجرای کد VBA مسئول برای دانلود تروجان می‌شود.EarlyRat که به‌عنوان یک Backdoor ساده اما محدود توصیف می‌شود، برای جمع‌آوری و استخراج اطلاعات سیستم به یک سرور راه دور و همچنین اجرای دستورات دلخواه طراحی‌شده است. همچنین شباهت‌های سطح بالایی با MagicRAT دارد، البته که با استفاده از چارچوبی به نام PureBasic نوشته‌شده است. از سوی دیگر، MagicRAT از چارچوب Qt استفاده می‌کند.

در حملاتی که در سال گذشته از آسیب‌پذیری Log4j Log4Shell مشاهده شد، یک ابزار بی‌نظیر دیگر مشاهده شد که مربوط به استفاده از ابزارهای قابل‌خرید خارجی و معتبر مانند ۳Proxy، ForkDump، NTDSDumpEx، Powerline و PuTTY برای بهره‌برداری بیشتر از هدف است.

Kaspersky گفت: “اگرچه گروه APT لازاروس برای انجام وظایف معمول جرم سایبری مانند استقرار باج افزار شناخته‌شده است، اما این امر منجر به پیچیده‌تر شدن جرائم سایبری می‌شود.” “علاوه بر این، این گروه از ابزارهای سفارشی متنوعی استفاده می‌کند و به‌طور مداوم بدافزارهای موجود را به‌روزرسانی کرده و بدافزارهای را جدید توسعه می‌دهد.”

مطالب مرتبط

نقص ‘nOAuth’ در Microsoft Azure AD

White Phoenix

منبع