Andariel, un grupo APT ha operado por más de una década dentro del grupo Lazarus. La campaña de Andariel ha estado bajo el radar de los investigadores de Kaspersky, y recientemente han descubierto una familia de malware no documentada que identifica sus tácticas, técnicas y procedimientos (TTP) adicionales.
En el transcurso de un estudio detallado sobre las operaciones de Andariel, un subgrupo infame de Lazarus, los expertos de Kaspersky hallaron una nueva variedad de malware denominada EarlyRat. Esta se utiliza en combinación con el conocido uso del malware DTrack y el ransomware Maui por parte de Andariel. Este nuevo análisis facilita la atribución más rápida y permite detectar ataques anticipadamente en sus fases iniciales.
Sobre sus tácticas
Andariel inicia las infecciones aprovechando un exploit Log4j, que permite la descarga de malware adicional desde su infraestructura de mando y control (C2). Aunque no se capturó la pieza inicial de malware descargada, se observó que la puerta trasera DTrack se descargó posteriormente poco después del exploit Log4j.
Un aspecto fascinante de la investigación surgió cuando Kaspersky pudo replicar el proceso de ejecución de comandos.
Se hizo evidente que los comandos de la campaña de Andariel estaban siendo ejecutados por un operador humano, presumiblemente con poca experiencia, como demuestran los numerosos errores y erratas cometidos. Por ejemplo, el operador escribió por error «Prorgam» en lugar de «Programa».
Los investigadores de Kaspersky también encontraron una versión de EarlyRat en uno de los casos de Log4j. En algunos casos, EarlyRat se descargó a través de la vulnerabilidad Log4j, mientras que en otros se descubrió que los documentos de phishing acababan desplegando el EarlyRat.
El malware EarlyRat
EarlyRat, como muchos otros troyanos de acceso remoto (RAT), recopila información del sistema al activarse y la transmite al servidor C2 utilizando una plantilla específica. Los datos transmitidos incluyen identificadores únicos de máquina (ID) y consultas, que se cifran utilizando claves criptográficas especificadas en el campo ID.
En cuanto a su funcionamiento, EarlyRat es simple y se enfoca principalmente en la ejecución de comandos. Es interesante notar que EarlyRat tiene ciertas semejanzas con MagicRat, un malware previamente desplegado por Lazarus. Ambos comparten características como el uso de frameworks (QT para MagicRat y PureBasic para EarlyRat) y la funcionalidad limitada de ambos RATs.
«En el amplio espectro de la ciberdelincuencia, existen numerosos actores y grupos con estructuras cambiantes. Es común que los grupos utilicen código ajeno e incluso afiliados que pueden ser considerados entidades autónomas, alternando entre diferentes tipos de malware. Para añadir más complejidad, subgrupos de grupos APT como Andariel de Lazarus se involucran en actividades cibercriminales típicas como la implementación de ransomware. Al enfocarnos en las tácticas, técnicas y procedimientos (TTP), tal como lo hicimos con Andariel, podemos disminuir significativamente el tiempo para atribuir responsabilidad y detectar ataques en sus etapas iniciales», menciona Jornt van der Wiel, investigador sénior de seguridad en GReAT en Kaspersky.
Fuente: Kaspersky descubre una nueva familia de malware utilizada por Andariel, el subgrupo de Lazarus