Rambler's Top100
Все новости Новости отрасли

Обнаружена новая сложная кампания кибергруппы Andariel

30 июня 2023

Эксперты «Лаборатории Касперского» обнаружили новый инструмент в арсенале кибергруппы Andariel, которая входит в состав Lazarus. Это троянец удалённого доступа, который получил название EarlyRat. Andariel использует его наряду с шпионской программой DTrack и вымогателем Maui.

Первичное заражение происходит с помощью эксплойта Log4j. Анализируя один из случаев его использования, эксперты «Лаборатории Касперского» обнаружили версию троянца EarlyRat. В ходе исследования выяснилось, что зловред может попадать на устройство через уязвимость, найденную с помощью Log4j, либо через ссылки в фишинговых документах.

Эксперты «Лаборатории Касперского» смогли воссоздать процесс выполнения команд. Выяснилось, что их реализовывал оператор-человек, с большой степенью вероятности неопытный. Об этом свидетельствуют многочисленные ошибки и опечатки, например «Prorgam» вместо «Program».

Зловред EarlyRat, как и многие другие троянцы удалённого доступа (Remote Access Trojan, RAT), собирает системную информацию после активации и передает её на контрольно-командный сервер по определённому шаблону. Данные, которые он передаёт, включают в себя уникальные идентификаторы заражённых машин и запросы, которые шифруются с использованием этих идентификаторов.

Что касается функциональности, троянец EarlyRat отличается простотой и в основном ограничивается выполнением команд. Он имеет высокий уровень сходства с MagicRat — вредоносной программой, которая входит в арсенал Lazarus. В числе сходств — использование фреймворков (QT для MagicRat и PureBasic для EarlyRat) и ограниченная функциональность обоих троянцев.

«Мы видим множество кибергрупп, состав которых видоизменяется. Для них обычная практика — адаптировать код других кибергрупп, в том числе аффилированных организаций, которые могут восприниматься как независимые структуры, переключаясь между разными типами вредоносных программ. Вдобавок к сложным операциям подгруппы, такие как Andariel в Lazarus, совершают более типичные для киберпреступности действия, например внедряют программы-вымогатели. Знание тактик, техник и процедур, как в случае с Andariel, позволяет значительно сократить время на атрибуцию и обнаруживать атаки на ранней стадии», — комментирует Игорь Кузнецов, руководитель Глобального центра исследований и анализа угроз.

Источник: Лаборатория Касперского

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

Российские компании атакует новый шпионский троянец

Назначен новый генеральный директор компании МойОфис

Каждая вторая компания с филиальной сетью в России внедряет технологию SD-WAN для повышения уровня безопасности

STEP LOGIC внедрил комплексное решение для защиты ОКИИ на горнодобывающем предприятии

beeline cloud и «Лаборатория Касперского» запустили Cloud SD-WAN

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Продолжение использования сайта пользователем интерпретируется как согласие на обработку фрагментов персональных данных (таких, как cookies) для целей корректной работы сайта.

Согласен