Kaspersky scopre una nuova famiglia di malware utilizzata da Andariel, sottogruppo di Lazarus
Nel corso di un’indagine approfondita sulle attività di Andariel, noto sottogruppo di Lazarus, i ricercatori di Kaspersky hanno scoperto una nuova famiglia di malware chiamata EarlyRat, che è stata utilizzata insieme al malware DTrack e al ransomware Maui. L’analisi dei TTP di Andariel aiuta a ridurre il tempo necessario per attribuire e rilevare proattivamente gli attacchi nelle fasi iniziali.
Nel corso di una ricerca non collegata, Kaspersky si è imbattuta nella campagna di Andariel e ha deciso di indagare più a fondo. In questo modo, i ricercatori hanno scoperto una famiglia di malware non ancora documentata e hanno identificato ulteriori tattiche, tecniche e procedure (TTP) utilizzate da Andariel.
Le infezioni sono state lanciate da Andariel sfruttando un exploit Log4j, che consente di scaricare un altro malware dall’infrastruttura di comando e controllo (C2). Sebbene la parte iniziale del malware scaricato non sia ancora stata intercettata, è stato osservato che la backdoor DTrack è stata successivamente installata poco dopo l’exploit Log4j.
Un aspetto interessante di questa indagine è emerso quando Kaspersky è riuscita a replicare i comandi eseguiti dagli operatori che si celavano dietro la campagna Andariel.
È risultato evidente che questi comandi erano eseguiti da un operatore umano, che presumibilmente si era unito di recente all’operazione, come dimostrano i numerosi errori e refusi commessi, ad esempio, “Prorgam” anziché “Program”.
Inoltre, i ricercatori di Kaspersky hanno rilevato una versione di EarlyRat nei file Log4j. Inizialmente è stato ipotizzato che EarlyRat fosse stato scaricato attraverso la vulnerabilità Log4j, ma ulteriori indagini hanno permesso di scoprire che era stato distribuito tramite documenti di phishing.
EarlyRat, come molti altri Remote Access Trojan (RAT), raccoglie informazioni sul sistema al momento dell’attivazione e le trasmette al server C2, utilizzando un modello specifico. I dati trasmessi includono gli identificativi unici della macchina (ID) e le query, che sono criptate utilizzando chiavi crittografiche specifiche nel campo ID.
In termini di funzionalità, EarlyRat è semplice e si limita all’esecuzione dei comandi.
È interessante notare che EarlyRat condivide alcune analogie di alto livello con MagicRat – malware precedentemente distribuito da Lazarus – come l’utilizzo di framework (QT per MagicRat e PureBasic per EarlyRat) e funzionalità limitate di entrambi i RAT.
“Nel vasto panorama del cybercrime, incontriamo numerosi attori e gruppi che operano in strutture flessibili. È comune che i gruppi adottino i codici di altri e persino gli affiliati, che possono essere considerati enti indipendenti, passano per diversi tipi di malware.
Ad aumentare la complessità, i sottogruppi APT come Andariel si impegnano in attività tipiche della criminalità informatica come la distribuzione di ransomware. Focalizzandoci su tattiche, tecniche e procedure (TTP), come abbiamo fatto con Andariel, possiamo ridurre significativamente i tempi di attribuzione e rilevamento degli attacchi nelle fasi iniziali”, ha dichiarato Jornt van der Wiel, Senior Security Researcher, GReAT di Kaspersky.
Per ulteriori dettagli sulla campagna Andariel, inclusa l’analisi tecnica e le scoperte complessive, visitare Securelist.com
Per evitare di essere vittime di attacchi mirati da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky consigliano di implementare le seguenti misure di sicurezza:
⦁ Fornire al team SOC l’accesso alle più recenti informazioni sulle minacce (Threat Intelligence). ⦁ Kaspersky ⦁ Threat⦁ Intelligence Portal è un unico punto di accesso alle informazioni sulle minacce di Kaspersky, che fornisce dati e insight sugli attacchi informatici rilevati dal nostro team negli ultimi 20 anni.
⦁ Formare il proprio team di sicurezza informatica per affrontare le più recenti minacce mirate con ⦁ Kaspersky online training sviluppato dagli esperti del GReAT
⦁ Per il rilevamento a livello endpoint, le indagini, la tempestiva risoluzione in caso di incidenti,e l’implementazione di soluzioni EDR, come ⦁ Kaspersky Endpoint ⦁ Detection⦁ and ⦁ Response, sono fondamentali.
⦁ Oltre ad adottare la protezione endpoint di base, è importante installare anche una soluzione di sicurezza di livello corporate, come ⦁ Kaspersky Anti ⦁ Targeted⦁ Attack Platform, che rilevi sin dagli stadi iniziali le minacce avanzate a livello di rete,
⦁ Poiché molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è bene introdurre sessioni di formazione per sensibilizzare sulle tematiche di sicurezza informatica e trasmettere competenze pratiche al proprio team, ad esempio attraverso il programma ⦁ Kaspersky ⦁ Automated⦁ Security ⦁ Awareness⦁ Platform
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo.
Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati e soluzioni Cyber Immune, per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
