Эксперты показали, как распространяется новый троян и какие связи он имеет с Lazarus Group.
Исследователи «Лаборатории Касперского» обнаружили ранее незадокументированное семейство вредоносных программ и выявили операционные ошибки, допущенные группой Andariel, фракцией северокорейской группировки Lazarus Group. «Лаборатория Касперского» Для просмотра ссылки Войдиили Зарегистрируйся проанализировала тактику группы Andariel и выявила новую угрозу под названием «EarlyRat».
Группа Andariel известна тем, что использует Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Впервые Andariel привлекла внимание в середине 2022 года. Используя уязвимость Log4Shell , Andariel доставляла на целевые устройства р Для просмотра ссылки Войди или Зарегистрируйся , включая YamaBot и Для просмотра ссылки Войди или Зарегистрируйся , а также обновленные версии Для просмотра ссылки Войди или Зарегистрируйся и DTrack.
Расследование «Лаборатории Касперского» показало, что Andariel инициирует заражение, выполняя эксплойт Log4Shell, который загружает дополнительное вредоносное ПО с сервера управления и контроля ( C2-сервер ).
Примечательно, что исследователи наблюдали за выполнением команд человеком-оператором и отметили многочисленные ошибки и опечатки, предполагая, что за операцией стоял неопытный злоумышленник.
Исследователи также выявили новое семейство вредоносных программ под названием EarlyRat. Изначально предполагалось, что образцы EarlyRat загружаются через Log4Shell, но дальнейший анализ показал, что основным механизмом доставки EarlyRat были фишинговые документы.
EarlyRat, как и многие другие трояны удаленного доступа ( RAT ), при активации собирает системную информацию и передает ее на C2-сервер по определенному шаблону. Передаваемые данные включают в себя уникальные идентификаторы компьютеров (ID) и запросы, которые шифруются с помощью криптографических ключей, указанных в поле ID.
С точки зрения функциональности EarlyRat отличается простотой, в основном ограничиваясь выполнением команд. Интересно, что EarlyRat имеет некоторое общее сходство с вредоносной программой Lazarus MagicRat. Сходства состоят в использовании фреймворков (QT для MagicRat и PureBasic для EarlyRat) и ограниченной функциональности обоих RAT-троянов.
Впервые MagicRAT Для просмотра ссылки Войдиили Зарегистрируйся , которые использовали подключенные к интернету серверы VMware Horizon. По словам исследователей, троян был создан с помощью фреймворка Qt, чтобы затруднить анализ и снизить вероятность обнаружения системами безопасности.
Чтобы закрепиться в системе, троян создает запланированные задачи. Функционал у MagicRat довольно прост – вредонос предоставляет злоумышленникам удаленную оболочку, позволяющую выполнять произвольные команды и манипулировать файлами жертвы.
Исследователи «Лаборатории Касперского» обнаружили ранее незадокументированное семейство вредоносных программ и выявили операционные ошибки, допущенные группой Andariel, фракцией северокорейской группировки Lazarus Group. «Лаборатория Касперского» Для просмотра ссылки Войди
Группа Andariel известна тем, что использует Для просмотра ссылки Войди
Расследование «Лаборатории Касперского» показало, что Andariel инициирует заражение, выполняя эксплойт Log4Shell, который загружает дополнительное вредоносное ПО с сервера управления и контроля ( C2-сервер ).
Примечательно, что исследователи наблюдали за выполнением команд человеком-оператором и отметили многочисленные ошибки и опечатки, предполагая, что за операцией стоял неопытный злоумышленник.
Исследователи также выявили новое семейство вредоносных программ под названием EarlyRat. Изначально предполагалось, что образцы EarlyRat загружаются через Log4Shell, но дальнейший анализ показал, что основным механизмом доставки EarlyRat были фишинговые документы.
EarlyRat, как и многие другие трояны удаленного доступа ( RAT ), при активации собирает системную информацию и передает ее на C2-сервер по определенному шаблону. Передаваемые данные включают в себя уникальные идентификаторы компьютеров (ID) и запросы, которые шифруются с помощью криптографических ключей, указанных в поле ID.
С точки зрения функциональности EarlyRat отличается простотой, в основном ограничиваясь выполнением команд. Интересно, что EarlyRat имеет некоторое общее сходство с вредоносной программой Lazarus MagicRat. Сходства состоят в использовании фреймворков (QT для MagicRat и PureBasic для EarlyRat) и ограниченной функциональности обоих RAT-троянов.
Впервые MagicRAT Для просмотра ссылки Войди
Чтобы закрепиться в системе, троян создает запланированные задачи. Функционал у MagicRat довольно прост – вредонос предоставляет злоумышленникам удаленную оболочку, позволяющую выполнять произвольные команды и манипулировать файлами жертвы.
- Источник новости
- www.securitylab.ru