Północnokoreańscy hakerzy mają nowe złośliwe oprogramowanie

Grupa północnokoreańskich hakerów znowu atakuje. Tym razem korzystają z całkowicie nowego oprogramowania – EarlyRat. Służy im do ataków phishingowych.

  • Damian Jemioło
  • /
  • 30 czerwca 2023

Północnokoreańscy hakerzy atakują

The Hacker News podaje, że grupa hakerów „Andariel” związana z Koreą Północną, używa specjalnego złośliwego oprogramowania o nazwie EarlyRat do ataków phishingowych. Andariel jest częścią Lazarus Group, grupy hakerskiej związanej z jednostką Lab 110.

Microsoft ostrzega przed rosyjskimi hakerami. Kradną dane uwierzytelniająceMicrosoft ostrzega przed rosyjskimi hakerami. Kradną dane uwierzytelniająceDamian Jemioło

Andariel atakuje urządzenia za pomocą luki o nazwie Log4j. Wykorzystuje on ten exploit, aby pobrać kolejne złośliwe oprogramowanie z serwera kontrolno-rozpoznawczego (C2).

Narzędzia używane przez Koreańczyków to między innymi oprogramowanie ransomware o nazwie Maui oraz różne trojany i backdoory, takie jak Dtrack, NukeSped, MagicRAT i YamaBot. 

NukeSped posiada funkcje, które pozwalają na tworzenie, zamykanie i przenoszenie procesów, a także odczyt i zapis plików na zainfekowanym komputerze. Wykorzystanie NukeSped pokrywa się z kampanią o nazwie TraderTraitor, śledzoną przez amerykańską Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA).

EarlyRat w kampaniach phishingowych

EarlyRat jest rozpowszechniany za pomocą wiadomości phishingowych zawierających fałszywe dokumenty w programie Microsoft Word. Po otwarciu takiego pliku odbiorca jest proszony o włączenie makr, co prowadzi do uruchomienia kodu VBA, a ten następnie pobiera trojana.

To prosty, ale ograniczony backdoor, który służy do zbierania informacji systemowych i przesyłania ich na zdalny serwer. Oprogramowanie to jest podobne do MagicRAT, a oba te narzędzia zostały napisane przy użyciu różnych frameworków, takich jak PureBasic i Qt Framework.

Fałszywe aplikacje na Androida szpiegują użytkownikówFałszywe aplikacje na Androida szpiegują użytkownikówDamian Jemioło

Inną niewidoczną taktyką, obserwowaną w ubiegłorocznych atakach wykorzystujących lukę Log4j, jest wykorzystanie legalnych, gotowych narzędzi, takich jak 3Proxy, ForkDump, NTDSDumpEx, Powerline i PuTTY, do dalszego atakowania celów.

Choć Lazarus Group jest organizacją doświadczonych hakerów, znana jest również z mniej wyrafinowanych procesów cyberprzestępczych. Takich jak rozprzestrzenianie oprogramowania ransomware. Grupa ta korzysta z wielu narzędzi, stale aktualizując swoje istniejące i opracowując nowe złośliwe oprogramowanie.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!