Les attaques du sous-groupe Lazarus impliquent le nouveau malware EarlyRAT

Ordinateur qui bipe rapporte qu’Andariel, un sous-groupe de l’opération de piratage parrainée par l’État nord-coréen Lazarus Group, a exploité le logiciel malveillant EarlyRAT récemment découvert dans des attaques abusant de la vulnérabilité Log4Shell l’année dernière. La reconnaissance du réseau, le vol d’identifiants et les activités de déplacement latéral suite à l’exploitation de Log4Shell ont été facilités par Andariel, également connu sous le nom de Stonefly, via les outils Powerline, Putty, Dunpert et 3Proxy, tandis que les macros du document de phishing de l’opération ont permis la récupération de la charge utile EarlyRAT à partir d’un serveur auparavant. utilisé dans les campagnes de rançongiciels Maui, selon un rapport de Kaspersky. Une analyse plus approfondie a révélé qu’en plus de fournir des informations système recueillies au serveur de commande et de contrôle, le logiciel malveillant permettait également l’exécution de commandes pour permettre des téléchargements de charge utile supplémentaires et l’exfiltration de données, ainsi que des perturbations du système. Des similitudes significatives ont également été trouvées entre EarlyRAT et l’outil MagicRAT de Lazarus, ont déclaré les chercheurs, qui ont noté la prévalence d’erreurs et d’erreurs typographiques dans les commandes d’EarlyRAT, indiquant que le malware peut avoir été géré par un opérateur inexpérimenté.