卡巴斯基发现Lazarus的子组织Andariel使用的新恶意软件家族

在对Lazarus的臭名昭著的子组织Andariel的活动进行深入恶意软件调查期间，卡巴斯基研究人员发现了一个名为EarlyRat的新恶意软件家族，该恶意软件家族与Andariel已知使用的DTrack恶意软件和Maui勒索软件一起被使用。新的分析有助于减少威胁溯源所需的时间，并在攻击的早期阶段主动检测攻击。

Andariel是一种高级持续性威胁（APT），已经在Lazarus组织内运营了十多年，并且一直在卡巴斯基研究人员所关注的雷达上。最近，卡巴斯基研究人员发现了Andariel的活动，并发现了一种以前未记录的恶意软件家族，识别了其额外的攻击策略、技术和流程（TTP）。

Andariel 利用 Log4j 漏洞发起感染，该漏洞允许从其命令和控制 （C2） 基础设施下载其他恶意软件。虽然最初下载的恶意软件没有被捕获，但观察到 DTrack后门程序随后在 Log4j 漏洞被利用后不久被下载。

有趣的是，在调查过程中，卡巴斯基想办法复制了命令执行过程。很明显，Andariel活动中的命令是由一个人类操作员执行的，大概是一个没有什么经验的人，大量的错误和错别字证明了这一点。例如，操作员误将“ Program ”写成了“Prorgam ”。

根据这些发现，卡巴斯基的研究人员在其中一个log4j案例中遇到了EarlyRat的一个版本。在某些情况下，EarlyRat是通过log4j漏洞下载的，而在其他情况下，它是通过网络钓鱼文档最终部署的。

网络钓鱼文档示例

EarlyRAT与许多其它远程访问特洛伊木马程序（RAT）一样，在激活时会收集系统信息，并使用特定模板将其传输到C2服务器。传输的数据包括唯一的计算机标识符（ID）和查询内容，这些查询内容使用ID字段中指定的加密密钥进行加密。

在功能方面，EarlyRat表现出简洁性，主要限于执行命令。有趣的是，EarlyRat与Lazarus之前部署的恶意软件MagicRat有一些高度相似之处，例如框架的使用（QT用于MagicRat，PureBasic用于EarlyRat）以及两种RAT的受限功能。

“在庞大的网络犯罪领域，我们遇到很多参与者和组织联合起来进行犯罪。网络犯罪组织之间经常会借用恶意代码，甚至附属机构也被视为是独立的实体，他们会在不同类型的恶意软件之间切换。更复杂的是，APT组织的子组织（如Lazarus的Andariel）参与了典型的网络犯罪活动，如部署勒索软件。通过专注于战术、技术和流程（TTP），正如我们对Andariel所做的那样，我们可以显著减少威胁溯源时间，并在早期阶段发现攻击，”卡巴斯基全球研究与分析团队（GReAT）高级安全研究员Jornt van der Wiel评论说。

有关Andariel活动的更多详细信息，包括技术分析和综合调查结果，请访问securelist.com.

为了避免成为已知或未知威胁行为者发动的针对性攻击的受害者，卡巴斯基研究人员建议采取以下措施：

·为您的 SOC 团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。

·通过由优秀专家开发的卡巴斯基在线培训，提高您的网络安全团队应对最新针对性威胁的技能。

·为了实现端点级别的检测、调查和及时的事件修复，请部署EDR解决方案，例如卡巴斯基端点检测和响应

·除了采用基本端点保护外，还应实施企业级安全解决方案，在早期阶段检测网络级别的高级威胁，例如卡巴斯基反针对性攻击平台

由于很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的，所以为员工引入安全意识培训并教授实用安全技巧非常重要。例如可以使用卡巴斯基自动化安全意识平台。