Północnokoreańscy hakerzy mają nowe złośliwe oprogramowanie
Grupa północnokoreańskich hakerów znowu atakuje. Tym razem korzystają z całkowicie nowego oprogramowania – EarlyRat. Służy im do ataków phishingowych.
- Damian Jemioło
- /
- 30 czerwca 2023
Północnokoreańscy hakerzy atakują
The Hacker News podaje, że grupa hakerów „Andariel” związana z Koreą Północną, używa specjalnego złośliwego oprogramowania o nazwie EarlyRat do ataków phishingowych. Andariel jest częścią Lazarus Group, grupy hakerskiej związanej z jednostką Lab 110.
Microsoft ostrzega przed rosyjskimi hakerami. Kradną dane uwierzytelniająceDamian Jemioło
Andariel atakuje urządzenia za pomocą luki o nazwie Log4j. Wykorzystuje on ten exploit, aby pobrać kolejne złośliwe oprogramowanie z serwera kontrolno-rozpoznawczego (C2).
Narzędzia używane przez Koreańczyków to między innymi oprogramowanie ransomware o nazwie Maui oraz różne trojany i backdoory, takie jak Dtrack, NukeSped, MagicRAT i YamaBot.
NukeSped posiada funkcje, które pozwalają na tworzenie, zamykanie i przenoszenie procesów, a także odczyt i zapis plików na zainfekowanym komputerze. Wykorzystanie NukeSped pokrywa się z kampanią o nazwie TraderTraitor, śledzoną przez amerykańską Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA).
EarlyRat w kampaniach phishingowych
EarlyRat jest rozpowszechniany za pomocą wiadomości phishingowych zawierających fałszywe dokumenty w programie Microsoft Word. Po otwarciu takiego pliku odbiorca jest proszony o włączenie makr, co prowadzi do uruchomienia kodu VBA, a ten następnie pobiera trojana.
To prosty, ale ograniczony backdoor, który służy do zbierania informacji systemowych i przesyłania ich na zdalny serwer. Oprogramowanie to jest podobne do MagicRAT, a oba te narzędzia zostały napisane przy użyciu różnych frameworków, takich jak PureBasic i Qt Framework.
Fałszywe aplikacje na Androida szpiegują użytkownikówDamian Jemioło
Inną niewidoczną taktyką, obserwowaną w ubiegłorocznych atakach wykorzystujących lukę Log4j, jest wykorzystanie legalnych, gotowych narzędzi, takich jak 3Proxy, ForkDump, NTDSDumpEx, Powerline i PuTTY, do dalszego atakowania celów.
Choć Lazarus Group jest organizacją doświadczonych hakerów, znana jest również z mniej wyrafinowanych procesów cyberprzestępczych. Takich jak rozprzestrzenianie oprogramowania ransomware. Grupa ta korzysta z wielu narzędzi, stale aktualizując swoje istniejące i opracowując nowe złośliwe oprogramowanie.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?