Kaspersky descobre nova família de malware utilizada pelo Andariel, subgrupo do Lazarus

Kaspersky descobre nova família de malware utilizada pelo Andariel, subgrupo do Lazarus

A Kaspersky conduziu uma investigação exaustiva sobre as atividades do Andariel, um subgrupo do Lazarus. Durante esta investigação, os investigadores da Kaspersky descobriram uma nova família de malware chamada EarlyRat, que está a ser utilizada pelo Andariel juntamente com a utilização conhecida do malware DTrack e do ransomware Maui. A análise das TTPs do Andariel ajuda a reduzir o tempo necessário para a atribuição e a detetar proactivamente os ataques nas suas fases iniciais.

Enquanto conduzia uma investigação não relacionada, a Kaspersky deparou-se com a campanha desenvolvida pelo Andariel e decidiu aprofundar o assunto. Como resultado, os investigadores descobriram uma família de malware anteriormente não documentada e identificaram táticas, técnicas e procedimentos (TTPs) adicionais utilizados pelo Andariel.

O Andariel inicia as suas infeções através de um exploit Log4j, que permite o download de malware adicional a partir da sua infraestrutura de comando e controlo (C2). Embora a parte inicial do malware transferido não tenha sido capturada, observou-se que o backdoor DTrack foi subsequentemente transferido pouco depois do exploit Log4j.

Um aspeto curioso da investigação surgiu quando a Kaspersky foi capaz de replicar os comandos executados pelos operadores por detrás da campanha de Andariel. Tornou-se evidente que estes comandos estavam a ser executados por um operador humano, presumivelmente alguém que se tinha juntado recentemente à operação, como evidenciado pelos numerosos erros e gralhas cometidos. Por exemplo, o operador escreveu por engano "Prorgam" em vez de "Program".

Entre as descobertas, os investigadores da Kaspersky encontraram uma versão do EarlyRat num dos casos do Log4j. Inicialmente, assumiu-se que o EarlyRat tinha sido transferido através da vulnerabilidade Log4j. No entanto, uma investigação mais detalhada levou à descoberta de documentos de phishing que acabaram por implementar o EarlyRat.

Exemplo de um documento de phishing

O EarlyRat, como muitos outros Trojans de Acesso Remoto (RATs), recolhe informações do sistema após a ativação e transmite-as ao servidor C2 usando um modelo específico. Os dados transmitidos incluem identificadores únicos de máquina (ID) e consultas, que são encriptados usando chaves de encriptação especificadas no campo ID.

Em termos de funcionalidade, o EarlyRat exibe simplicidade, limitando-se principalmente à execução de comandos. Curiosamente, o EarlyRat partilha algumas semelhanças de alto nível com o MagicRat, o malware que já foi implantado pelo Lazarus anteriormente, como a utilização de frameworks (QT para o MagicRat e PureBasic para o EarlyRat) e a funcionalidade restrita de ambos os RATs.

"Na vasta paisagem do cibercrime, encontramos inúmeros intervenientes e grupos que operam com composições fluídas. É comum os grupos adotarem códigos de outros e mesmo os afiliados, que podem ser considerados entidades independentes, alternam entre diferentes tipos de malware. Para aumentar a complexidade, os subgrupos de grupos APT, como o Andariel do Lazarus, dedicam-se a atividades típicas da cibercriminalidade, como a distribuição de ransomware. Ao concentrarmo-nos nas táticas, técnicas e procedimentos (TTPs), como fizemos com o Andariel, podemos reduzir significativamente o tempo de atribuição e detetar ataques nas suas fases iniciais", afirma Jornt van der Wiel, investigador de segurança sénior, GReAT na Kaspersky.

Para mais pormenores sobre a campanha Andariel, incluindo análise técnica e conclusões abrangentes, visite o Securelist.com.

Para evitar ser vítima de um ataque direcionado por um agente de ameaças conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas:

· Forneça à sua equipa SOC acesso à mais recente inteligência de ameaças (TI). O Kaspersky Threat Intelligence Portal é um ponto de acesso único para a TI da empresa, fornecendo dados de ciberataques e conhecimentos recolhidos pela Kaspersky ao longo de mais de 20 anos.

· Capacite a sua equipa de cibersegurança para enfrentar as mais recentes ameaças direcionadas com a formação online da Kaspersky desenvolvida por especialistas GReAT.

· Para deteção, investigação e correção atempada de incidentes ao nível dos endpoints, implemente soluções EDR, como o Kaspersky Endpoint Detection and Response.

· Para além de adotar a proteção essencial dos endpoints, implemente uma solução de segurança de nível corporativo que detece ameaças avançadas no nível da rede num estágio inicial, como o Kaspersky Anti Targeted Attack Platform. Uma vez que muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social, introduza formação de sensibilização para a segurança e ensine competências práticas à sua equipa, como, por exemplo, através da Kaspersky Automated Security Awareness Platform.