اكتشف باحثون في مركز الأبحاث الروسي Kaspersky مجموعة برامج ضارة جديدة تسمى EarlyRat ، والتي يستخدمها Andariel جنبًا إلى جنب مع DTrack Malware و Maui Ransomware.
يساعد التحليل الجديد للشركة في تقليل الوقت المطلوب لتوفير الدعم المطلوب ، والكشف بشكل استباقي عن الهجمات في المراحل الأولى من إطلاقها.
تعمل عصابة Andariel APT منذ أكثر من 10 سنوات داخل عصابة Lazarus ، وتمكن الباحثون من مراقبتها لبعض الوقت ، وفقًا لموقع مركز الأبحاث الروسي Kaspersky.
في الآونة الأخيرة ، تمكنوا من الكشف عن حملة Andariel ، وتحديد مجموعة برامج ضارة غير مسجلة سابقًا ، وتحديد تكتيكاتها وتقنياتها وإجراءاتها الإضافية.
تبدأ عصابة Andariel في إحداث العدوى من خلال الاستفادة من استغلال يسمى Log4j يسمح بتنزيل برامج ضارة إضافية من البنية التحتية للقيادة والتحكم (C2).
على الرغم من عدم تحديد الجزء الأولي من البرنامج الضار الذي تم تنزيله ، لاحظ الباحثون أنه تم تنزيل الباب الخلفي DTrack لاحقًا ، حيث حدث هذا بعد وقت قصير من استغلال الثغرة الأمنية نفسها.
ظهر جانب مذهل من التحقيق عندما تمكن خبراء Kaspersky من تكرار عملية تنفيذ الأمر. اتضح أن الأوامر داخل حملة Andariel كان يتم تنفيذها من قبل عامل بشري يُفترض أنه يفتقر إلى الخبرة ، بناءً على العديد من الأخطاء الإملائية العامة التي ارتكبها.
على سبيل المثال ، كتب الشخص المسؤول عن العملية عن طريق الخطأ كلمة “Prorgam” بدلاً من التهجئة الصحيحة “Program”.
من بين النتائج الأخرى ، عثر الباحثون بطريق الخطأ على نسخة من EarlyRat في إحدى حالات الضعف في Log4j.
في حالات أخرى ، تم تنزيل EarlyRat عبر الثغرة الأمنية Log4j ، وفي حالات أخرى تم اكتشاف أن وثائق التصيد نشرت في النهاية EarlyRat.
نموذج لمستند التصيد الاحتيالي
كما هو الحال مع العديد من RATs الأخرى للوصول عن بُعد ، تجمع EarlyRat معلومات النظام عند تنشيطها ، والتي يتم إرسالها بعد ذلك إلى خادم C2 باستخدام نموذج محدد.
تتضمن البيانات المرسلة بيانات التعريف الفريدة (ID) للجهاز والاستعلامات ، والتي يتم تشفيرها باستخدام مفاتيح التشفير المحددة في حقل البيانات الوصفية.
من حيث الوظيفة ، تُظهر إيرليرات أنها تتميز بطبيعتها البسيطة ، حيث أنها تقتصر بشكل أساسي على تنفيذ الأوامر.
من بين الجوانب المثيرة للاهتمام التي تم الكشف عنها ، تشارك EarlyRat بعض أوجه التشابه عالية المستوى مع البرامج الضارة MagicRat التي تم نشرها سابقًا بواسطة عصابة Lazarus ، مثل استخدام الأطر (QT for MagicRat و PureBasic for EarlyRat) والوظائف المحددة لكل منها. أحصنة طروادة من مجموعة RATs.
لتجنب الاستهداف من قِبل جهة تهديد معروفة أو غير معروفة ، يوصي باحثو Kaspersky بالإجراءات التالية:
زوِّد فريق SOC الخاص بك بإمكانية الوصول إلى أحدث معلومات التهديدات.
طور مهارات فريق الأمن السيبراني لشركتك ، بحيث يمكن للموظفين التعامل مع أحدث التهديدات المستهدفة بناءً على التدريب الافتراضي.
يوصى بتنفيذ حل أمني على مستوى الشركة لاكتشاف التهديدات المتقدمة عبر الشبكة في مرحلة مبكرة.
يوصى بتنظيم تدريب يركز على الوعي الأمني وعلم المهارات العملية.
