Les analystes de la sécurité ont découvert un cheval de Troie d’accès à distance (RAT) précédemment non documenté nommé « EarlyRAT », utilisé par Andariel, un sous-groupe du groupe de piratage Lazarus parrainé par l’État nord-coréen.
On pense qu’Andariel (alias Stonefly) fait partie du groupe de piratage Lazarus connu pour utiliser la porte dérobée modulaire DTrack pour collecter des informations à partir de systèmes compromis, telles que l’historique de navigation, les données saisies (keylogging), les captures d’écran, les processus en cours d’exécution, etc.
Dans un rapport plus récent de WithSecure, il a été découvert qu’un groupe nord-coréen utilisant une nouvelle variante de DTrack, peut-être Andariel, avait rassemblé une précieuse propriété intellectuelle pendant deux mois.
Kaspersky a également lié Andariel aux déploiements de rançongiciels Maui en Russie, en Inde et en Asie du Sud-Est, de sorte que le groupe de menaces se concentre souvent sur la génération de revenus.
Le groupe de piratage utilise EarlyRAT pour collecter les informations système des appareils piratés et les envoyer au serveur C2 (commande et contrôle) de l’attaquant.
La découverte du RAT, qui vient de Kaspersky, ajoute une autre pièce au puzzle de l’arsenal du groupe et aide les défenseurs à détecter et stopper les intrusions associées.
EarlyRAT
Kaspersky a découvert EarlyRAT alors qu’il enquêtait sur une campagne Andariel à partir de la mi-2022, où les acteurs de la menace utilisaient Log4Shell pour violer les réseaux d’entreprise.
En exploitant la faille du logiciel Log4j, Andariel a téléchargé des outils prêts à l’emploi tels que 3Proxy, Putty, Dumpert et Powerline pour effectuer la reconnaissance du réseau, le vol d’informations d’identification et les mouvements latéraux.
Les analystes ont également remarqué un document de phishing dans ces attaques, qui utilisait des macros pour récupérer une charge utile EarlyRAT à partir d’un serveur associé à d’anciennes campagnes de ransomwares Maui.
EarlyRAT est un outil simple qui, au lancement, collecte les informations système et les envoie au serveur C2 via une requête POST.
La deuxième fonction principale d’EarlyRAT est d’exécuter des commandes sur le système infecté, éventuellement pour télécharger des charges utiles supplémentaires, exfiltrer des données précieuses ou perturber les opérations du système.
Kaspersky ne donne pas de détails à ce sujet, mais affirme qu’EarlyRAT est très similaire à MagicRAT, un autre outil utilisé par Lazarus, dont les fonctions incluent la création de tâches planifiées et le téléchargement de logiciels malveillants supplémentaires à partir du C2.
Les chercheurs affirment que les activités EarlyRAT examinées semblaient être exécutées par un opérateur humain inexpérimenté, compte tenu du nombre d’erreurs et de fautes de frappe.
Il a été observé que diverses commandes exécutées sur les périphériques réseau piratés étaient saisies manuellement et non codées en dur, ce qui entraînait souvent des erreurs de frappe.
Une négligence similaire a révélé une campagne Lazarus aux analystes de WithSecure l’année dernière, qui ont vu un opérateur du groupe oublier d’utiliser un proxy au début de sa journée de travail et exposer son adresse IP nord-coréenne.