Andariel หรือที่รู้จักในชื่อ Stonefly เป็นส่วนหนึ่งของกลุ่มแฮกเกอร์ Lazarus ที่รู้กันว่า
ใช้ DTrack Modular Backdoor เพื่อรวบรวมข้อมูลจากระบบที่ถูกตกเป็นเหยื่อ เช่น ประวัติการท่องเว็บ, keylogging, ภาพหน้าจอ, กระบวนการทำงาน และอื่นๆ ซึ่งในขณะนี้มีส่วนเกี่ยวข้องกับ EarlyRAT
ที่ถูกนำมาใช้ประโยชน์โดยการใช้เพื่อรวบรวมข้อมูลระบบจากอุปกรณ์ที่ถูกเจาะและส่งไปยังเซิร์ฟเวอร์ C2
Kaspersky ได้ทำการวิเคราะห์การเชื่อมโยงระหว่าง Andariel และแรนซัมแวร์ Maui ที่เกิดขึ้น
ในรัสเซีย อินเดีย และเอเชียตะวันออกเฉียงใต้ จึงมีแนวโน้มว่า Andariel
อาจมีเป้าหมายเป็นการสร้างรายได้จากการโจมตี
EarlyRAT ถูกค้นพบโดย Kaspersky ขณะทำการตรวจสอบแคมเปญที่เกี่ยวข้องกับ Andariel
ตั้งแต่ช่วงกลางปี 2022 ซึ่ง Andariel ใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ Log4j โดยดาวน์โหลดเครื่องมือ
ที่มีอยู่ทั่วไป เช่น 3Proxy, Putty, Dumpert และ Powerline เพื่อทำการตรวจสอบเครือข่าย, การขโมยข้อมูลรับรอง และ Lateral Movement นอกจากนี้ยังได้สังเกตเห็นเอกสารฟิชชิ่งในการโจมตี ซึ่งใช้มาโคร
เพื่อเรียกใช้ EarlyRAT Payload จากเซิร์ฟเวอร์ที่เกี่ยวข้องกับแคมเปญแรนซัมแวร์ Maui และหน้าที่หลักอีกอย่างของ EarlyRAT คือดำเนินการคำสั่งบนระบบที่ติดไวรัส, ทำการดาวน์โหลด Payload เพิ่มเติม,
กรองข้อมูลที่มีค่าออกมาเก็บไว้ และขัดขวางการทำงานของระบบ
EarlyRAT มีความคล้ายกับ MagicRAT ซึ่งเป็นเครื่องมืออื่นที่ Lazarus ใช้
ซึ่งมีหน้าที่รวมถึงการสร้าง Scheduled Tasks และดาวน์โหลดมัลแวร์เพิ่มเติมจากเซิร์ฟเวอร์ C2
กิจกรรมการโจมตีของ EarlyRAT ที่ตรวจสอบนั้นดูเหมือนจะดำเนินการโดยแฮกเกอร์ที่ไม่มีประสบการณ์ เนื่องจากมีจำนวนข้อผิดพลาดและการพิมพ์ผิดที่เห็นได้ชัด จากการสังเกตคำสั่งต่างๆ
ที่ดำเนินการบนอุปกรณ์เครือข่ายนั้น พิมพ์ด้วยตนเองและไม่ได้ฮาร์ดโค้ด
จึงมักนำไปสู่ข้อผิดพลาดที่เกิดจากการพิมพ์ผิด
คำแนะนำ
- ควรติดตั้งซอฟต์แวร์ป้องกันไวรัสและทำการ Full-Scan อย่างสม่ำเสมอ
- ควรอัปเดตระบบปฏิบัติการให้เป็นปัจจุบันอยู่เสมอ
- ควรสำรองไฟล์ไว้บนอุปกรณ์สำรองไฟล์และบนคลาวน์
- ติดตาม IoC ที่จะมีอัปเดตออกมาใหม่อยู่เสมอ
Ref: https://www.bleepingcomputer.com/news/security/new-earlyrat-malware-linked-to-north-korean-andariel-hacking-group/