Posté le juin 29, 2023 à 8:51
LES HACKERS D’ANDARIEL EXPLOITENT LE LOGICIEL MALVEILLANT EARLYRAT POUR MENER DES CAMPAGNES DE PHISHING
Andariel, un groupe de hackers basé en Corée du Nord, a exploité le logiciel malveillant EarlyRat pour mener des campagnes de phishing. EarlyRat est un logiciel malveillant peu connu jusqu’à présent. Ce logiciel malveillant vient s’ajouter au nombre d’outils utilisés par ce groupe d’acteurs de la menace pour mener des campagnes de piratage.
Andariel utilise le logiciel malveillant EarlyRat pour mener une campagne de phishing
Un rapport publié par les chercheurs de Kaspersky indique que le logiciel malveillant Andariel peut être utilisé pour infecter des machines en exploitant Log4j, qui est ensuite utilisé pour télécharger d’autres logiciels malveillants à partir du serveur de commande et de contrôle (C2).
Les chercheurs de Kaspersky ont déclaré : « Andariel infecte les machines en exécutant un exploit Log4j qui, à son tour, télécharge d’autres logiciels malveillants à partir du serveur C2. Malheureusement, nous n’avons pas pu attraper le logiciel malveillant téléchargé, mais nous avons vu que l’exploitation était suivie de près par le téléchargement de la porte dérobée DTrack. »
Le groupe de hackers Andariel est également connu sous le nom de Silent Chollima ou Stonefly. Le logiciel malveillant est lié au groupe de hackers Nord-Coréens connu sous le nom de Lab 110. Ce dernier est une unité de hackers qui a aussi soutenu le groupe de hackers APT38, également connu sous le nom de BlueNoroff. Les attributs du groupe de hackers sont similaires à ceux d’autres organisations qui opèrent sous l’égide du groupe Lazarus.
Le groupe de hackers Andariel a mené des campagnes d’espionnage visant des gouvernements étrangers et des organisations militaires. Les attaques lancées par le groupe servent généralement un intérêt stratégique. Le groupe, ainsi que les autres membres de l’organisation Lazarus, s’adonneraient à la cybercriminalité pour obtenir les fonds nécessaires au soutien de la Corée du Nord.
Parmi les outils utilisés par ce groupe de hackers figure une variété de ransomware connue sous le nom de Maui. Il a aussi eu recours à un large éventail de chevaux de Troie d’accès à distance et de portes dérobées comme Dtrack, NukeSped, MagicRAT et YamaBot pour mener à bien ces campagnes de piratage.
NukeSped est un cheval de Troie d’accès à distance et une porte dérobée qui contient toute une série de fonctions nécessaires pour créer et terminer des processus. L’outil est également utilisé pour lire, écrire et déplacer des fichiers sur l’hôte infecté.
L’utilisation du logiciel malveillant NukeSped pour mener des campagnes de piratage pour le groupe de hackers Nord-Coréens s’aligne sur un précédent rapport partagé par l’Agence Américaine de cybersécurité et de sécurité des infrastructures (CISA). Le rapport de la CISA avait désigné le logiciel malveillant sous le nom de TraderTraitor.
La stratégie d’armement utilisée dans le cas du logiciel malveillant Andariel consiste à utiliser la faille Log4Shell dans les serveurs VMware Horizon non corrigés. Cette faille a été précédemment documentée par l’AhnLab Security Emergency Response Center (ASEC) et Cisco Talos l’année dernière.
Le logiciel malveillant EarlyRat se cache dans des fichiers pour mener des campagnes de phishing
La dernière chaîne d’attaque détectée par les chercheurs de Kaspersky constate que le logiciel malveillant EarlyRat est diffusé par le biais d’emails de phishing qui contiennent des documents publiés au format Microsoft Word.
Lorsque les fichiers compromis sont ouverts sur l’appareil ciblé, les destinataires activent les macros. Cela conduira également à l’exécution du code VBA utilisé pour télécharger le cheval de Troie, ce qui entraînera une campagne de piratage sur l’appareil ciblé.
EarlyRat a été décrit comme une porte dérobée simple et limitée. Ce logiciel malveillant a été conçu pour recueillir et exfiltrer des informations système vers un serveur distant. Il est également utilisé pour exécuter des commandes arbitraires sur les victimes ciblées.
La porte dérobée permet en outre de partager des similitudes de haut niveau avec MagicRAT. Le logiciel malveillant est aussi écrit à l’aide d’un cadre connu sous le nom de PureBasic. D’autre part, MagicRAT dépend du Qt Framework pour mener des campagnes de piratage.
Les autres tactiques non observées qui ont été utilisées dans la conduite de ces attaques pour exploiter la vulnérabilité Log4j Log4Shell en 2022 concernent l’utilisation de certains outils légitimes, ce qui rend le processus de détection de ces campagnes de logiciels malveillants difficile et presque impossible.
Parmi les outils légitimes prêts à l’emploi utilisés pour mener ces campagnes de piratage figurent 3Proxy, Powerline, PuTTY, ForkDump et NTDSDumpEx. Ces outils sont utilisés pour poursuivre l’exploitation de l’appareil ciblé.
Le rapport publié par Kaspersky indique que Lazarus est connu comme un groupe APT, mais qu’il est utilisé pour mener de nombreuses campagnes de piratage, y compris pour déployer des ransomwares sur les appareils ciblés. Ainsi, le modus operandi du groupe complique le processus de détection des activités cybercriminelles.
Les chercheurs ont par ailleurs noté que le groupe de hackers a utilisé un large éventail d’outils personnalisés. Il a également mis à jour les logiciels malveillants existants et en a développé de nouveaux. Ce processus a rendu difficile la détection des campagnes de piratage par les chercheurs en cybersécurité et les antivirus.
