Descubierta una nueva familia de malware que utiliza Andariel, un subgrupo de Lazarus
- Actualidad
Los expertos de Kaspersky han descubierto una nueva familia de malware llamada EarlyRat tras un exhaustivo rastreo de las actividades de Andariel, un subgrupo relevante de Lazarus. EarlyRat es utilizada junto al malware DTrack y el ransomware Maui. El descubrimiento ayuda a reducir el tiempo de respuesta frente a esta amenaza y detecta proactivamente los ataques en fase temprana.
La amenaza persistente avanzada (APT) Andariel es utilizada por Lazarus desde hace ya diez años y ha estado siempre en el radar de los expertos de Kaspersky, que han detectado novedades que permiten conocer sus Técnicas, Tácticas y Procedimientos (TTP).
Andariel inicia la infección aprovechando un exploit de Log4j que permite la descarga del malware desde la infraestructura de comando y control (C2) y poco después del uso del exploit, se descarga el backdoor DTrack.
Kaspersky replicó el proceso de ejecución de comandos y descubrió que la campaña de Andariel estaba siendo ejecutada por un operador humano, casi con toda seguridad con poca experiencia, como lo demuestran los numerosos errores, algunos de ellos tipográficos. Por ejemplo, el operador escribió ‘prorgam’ en lugar de ‘program’ (programa en inglés).
Sus investigadores también determinaron qué herramientas estándar instala y ejecuta Andariel durante la fase de ejecución del comando para, después, explotar el objetivo, entre ellas 3Proxy, Powerline, Putty o Dumper y, además, descubrieron el troyano de acceso remoto EarlyRat, que recopila información del sistema tras su activación y la transmite al servidor C2 a través de una plantilla específica. Los datos incluyen identificadores de máquina (ID) únicos, además de consultas que se cifran mediante claves criptográficas especificadas en el campo ID.
EarlyRat es simple desde el punto de vista funcional, se limita principalmente a la ejecución de comandos y comparte ciertas similitudes con MagicRat, malware implementado anteriormente por Lazarus.
Claves para reducir el riesgo de sufrir este tipo de ciberataques
-- Proveer al equipo a cargo del SOC de acceso a la última inteligencia de amenazas.
-- Instalar soluciones EDR y contra amenazas persistentes avanzadas (APT) para la detección de riesgos y la investigación y resolución de incidentes en fase temprana.
-- Usar servicios y soluciones de confianza para identificar y detener ataques en fase inicial, antes de que los ciberdelincuentes consigan sus objetivos.
-- Hablar con los empleados sobre cómo se producen los ciberataques: correos electrónicos, webs o archivos descargados de fuentes de terceros son importantes vectores de ataque. Es interesante formar a la plantilla y realizar pruebas controladas para identificar amenazas.