Глупые ошибки группы Andariel и новое семейство зловредов

Введение

Группа Andariel — подразделение известной APT-группы Lazarus — в середине 2022 года проводила атаки с использованием зловреда DTrack и шифровальщика Maui. Примерно тогда же группа активно эксплуатировала уязвимость Log4j. о чем писали Talos и Ahnlab. В ходе этой кампании Andariel использовала несколько новых семейств зловредов, например YamaBot и MagicRat, а также обновленные версии NukeSped и, разумеется, DTrack.

Недавно, во время другого расследования, мы наткнулись на эту кампанию и решили разобраться в ней подробнее. В результате мы выявили прежде не зарегистрированное вредоносное семейство и новые тактики, методы и процедуры (TTP).

Первичное заражение и опечатки в командах

Для атаки Andariel использует эксплойт Log4j, который загружает на компьютер дополнительное вредоносное ПО с командного сервера. К сожалению, зловред, загруженный первым, мы не нашли, но выяснили, что вскоре после эксплуатации уязвимости злоумышленники доставляли в систему бэкдор DTrack.

Мы смогли воспроизвести команды, которые выполняли атакующие, и получили любопытные результаты. Было очевидно, что этим занимался человек, причем не очень опытный: команды содержали множество ошибок и опечаток. Например:

Здесь вместо Program написано Prorgam. Еще одно забавное наблюдение: операторы не сразу поняли, что находятся в португалоязычной системной среде. Чтобы додуматься до этого, им потребовалось на удивление много времени — только выполнив команду cmd.еxe /c net localgroup, они что-то заподозрили:

Мы смогли определить ряд готовых инструментов, которые Andariel устанавливает и запускает на этапе выполнения команд, а затем использует для дальнейшей эксплуатации целевого компьютера. Вот некоторые из них:

• Supremo Remote Desktop;
• 3Proxy;
• Powerline;
• Putty;
• Dumpert;
• NTDSDumpEx;
• ForkDump.
• Остальные инструменты перечислены в нашем приватном отчете.

Новый зловред — EarlyRat

Впервые мы заметили EarlyRat в одной из вышеупомянутых атак с эксплуатацией Log4j и предположили, что он был загружен через эксплойт для этого ПО. Однако в поисках других образцов мы наткнулись на фишинговые документы, через которые EarlyRat попадал на компьютер на самом деле. Сами документы устроены довольно просто, как можно увидеть ниже:

После включения макросов выполняется следующая команда:

Интересно, что в VBA-коде пингуется сервер, связанный с кампанией, в которой использовались шифровальщики HolyGhost и Maui.

EarlyRat, как и многие другие инструменты удаленного администрирования (RAT), собирает информацию о системе при запуске и отправляет ее на командный сервер, используя следующий шаблон:

Как видно из шаблона, запрос содержит два параметра: id и query. Также поддерживаются параметры rep0 и page. Параметры используются следующим образом:

• id — уникальный идентификатор компьютера, используемый как ключ шифрования для расшифровки значения из параметра query.
• query — фактическое содержимое. Оно кодируется по методу Base64 и шифруется операцией rolling XOR с ключом, указанным в поле id.
• rep0 — текущий каталог.
• page — внутреннее состояние.

Функциональность EarlyRat очень проста: он может выполнять команды и больше ничего примечательного не делает. Кроме того, есть определенное сходство между EarlyRat и MagicRat. В частности, оба зловреда написаны с использованием фреймворка (QT для MagicRat и PureBasic для EarlyRat). Также функциональность обоих RAT-зловредов очень ограничена.

Заключение

Несмотря на то что Lazarus — APT-группа, злоумышленники часто проводят стандартные киберпреступные кампании, например распространяют шифровальщики. Это усложняет ландшафт киберугроз. Кроме того, Lazarus использует множество собственных инструментов, постоянно обновляет существующее вредоносное ПО и разрабатывает новое.

Расследуя активность Andariel, мы сосредоточились на анализе TTP. Это помогает быстро проводить атрибуцию и отслеживать атаки на ранних этапах. Кроме того, результаты такого анализа позволяют принимать проактивные меры по предотвращению инцидентов.

Защититься от кибератак помогают и отчеты об угрозах от различных поставщиков. Если вы хотите получать свежую информацию о новейших тактиках, методах и процедурах злоумышленников или задать вопрос о наших приватных отчетах, пишите по адресу crimewareintel@kaspersky.com.