კასპერსკის ლაბორატორიამ“ აღმოაჩინა კიბერჯგუფ Andariel-ის ახალი რთული კამპანია
თბილისი, 11 ივნისი. „კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს ახალი ინსტრუმენტი Andariel-ის კიბერჯგუფის არსენალში, რომელიც Lazarus-ის ნაწილია. ეს არის დისტანციური წვდომის ტროიანელი სახელწოდებით EarlyRat. Andariel, იყენებს მას ჯაშუშურ DTrack და გამოსასყიდ პროგრამა Maui-სთან ერთად.
პირველადი დაინფიცირება ხდება Log4j ექსპლოიტის გამოყენებით. მისი გამოყენების ერთ-ერთი შემთხვევის გაანალიზებისას, „კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს EarlyRat ტროიანელის ვერსია. კვლევის დროს გაირკვა, რომ მავნე პროგრამას შეუძლია შევიდეს მოწყობილობაში Log4j-ის გამოყენებით აღმოჩენილი დაუცველობის ან ფიშინგ დოკუმენტების ბმულების მეშვეობით.
ექსპერტებმა შეძლეს ხელახლა შექმნან ბრძანებების შესრულების პროცესი. აღმოჩნდა, რომ მას ახორციელებდა დიდი ალბათობით გამოუცდელი ოპერატორ-ადამიანი. ამაზე მოწმობსუამრავი შეცდომა და ბეჭდვითი შეცდომა, მაგალითად, „პრორგამი“ „პროგრამის“ ნაცვლად.
მავნე პროგრამა EarlyRat, ისევე როგორც მრავალი სხვა დისტანციური წვდომის ტროიანები (Remote Access Trojan, RAT), აგროვებს სისტემის ინფორმაციას აქტივაციის შემდეგ და აგზავნის მას C&C სერვერზე კონკრეტული შაბლონის მიხედვით. მის მიერ გადაცემული მონაცემები მოიცავს ინფიცირებული მანქანების უნიკალურ იდენტიფიკატორებს და მოთხოვნებს, რომლებიც დაშიფრულია ამ იდენტიფიკატორების გამოყენებით.
კომპანიის თქმით, ფუნქციონალური თვალსაზრისით, EarlyRat Trojan მარტივია და ძირითადად შემოიფარგლება ბრძანებების შესრულებით. მას აქვს მაღალი დონის მსგავსება MagicRat-თან, მავნე პროგრამასთან, რომელიც Lazarus-ის არსენალის ნაწილია. მსგავსება მოიცავს ჩარჩოების გამოყენებას (QT MagicRat-ისთვის და PureBasic EarlyRat-ისთვის) და ორივე ტროიანელის შეზღუდულ ფუნქციონირებას.
„ჩვენ ვხედავთ უამრავ კიბერჯგუფს, რომელთა შემადგენლობა სახეობრივად იცვლება. მათთვის ჩვეულებრივი პრაქტიკაა სხვა კიბერჯგუფების, მათ შორის შვილობილი ორგანიზაციების კოდის ადაპტირება, რომლებიც შეიძლება აღიქმებოდეს დამოუკიდებელ სუბიექტებად, რომლებიც შემდეგ გადაირთვება სხვადასხვა ტიპის მავნე პროგრამებს შორის. ქვეჯგუფები, როგორიცაა Andariel-ი Lazarus-ში რთული ოპერაციების გარდა ახორციელებენ უფრო ტიპურ კიბერდანაშაულობრივ აქტივობებს, მაგალითად ნერგავენ გამოსასყიდ პროგრამებს. ტაქტიკის, ტექნიკისა და პროცედურების ცოდნამ, როგორც Andariel-ის შემთხვევაში, შეიძლება მნიშვნელოვნად შეამციროს ატრიბუციის დრო და აღმოაჩინოს თავდასხმები ადრეულ ეტაპზე“, – ამბობს კვლევისა და საფრთხეების ანალიზის გლობალური ცენტრის ხელმძღვანელი იგორ კუზნეცოვი.
Andariel-ის კომპანიაზე უფრო მეტის გაგებას შეძლებთ აქ: https://securelist.com/lazarus-andariel-mistakes-and-easyrat/110119/.