Im Zuge einer eingehenden Malware-Untersuchung der Aktivitäten von Andariel, einer berüchtigten Lazarus-Untergruppe, identifizierten Kaspersky-Experten eine neue Malware-Familie namens EarlyRat, die zusätzlich zu der von Andariel genutzten Malware DTrack und der Ransomware Maui eingesetzt wird. Die aktuelle Analyse von Kaspersky hilft, die Zeit für die Zuordnung von Schadprogrammen zu verkürzen und Angriffe proaktiv in einem frühen Stadium zu erkennen.
Der APT (Advanced Persistent Threat) Andariel ist seit mehr als einem Jahrzehnt innerhalb der Lazarus-Gruppe aktiv und steht schon seit Längerem auf dem Radar der Kaspersky-Experten. Erst vor Kurzem konnten sie Andariels Kampagne aufspüren und eine bisher nicht dokumentierte Malware-Familie mit ihren zahlreichen Taktiken, Techniken und Verfahren (TTPs) aufdecken.
Bei Andariel werden Infektionen über eine Log4j-Sicherheitslücke eingeleitet, die den Download zusätzlicher Malware aus der C2-Infrastruktur (Command-and-Control) ermöglicht. Zwar gelang es nicht, die ursprünglich heruntergeladene Malware zu erfassen, jedoch wurde festgestellt, dass die DTrack-Backdoor kurz nach dem Log4j-Exploit heruntergeladen wurde.
Ein besonders spannender Aspekt der Untersuchung ergab sich, als Kaspersky den Prozess der Befehlsausführung nachstellen konnte. Dabei wurde deutlich, dass die Befehle in der Andariel-Kampagne vermutlich von einem eher unerfahrenen Anwender ausgeführt wurden, wie die zahlreichen Fehler und Tippfehler belegen. So schrieb der Operator beispielsweise „Prorgram“ anstelle von „Programm“.
Infektionsverfahren bei EarlyRAT
Unter anderem stießen die Kaspersky-Experten in einem der Log4j-Fälle auf eine Version von EarlyRat. In einigen Situationen wurde EarlyRat über die Log4j-Schwachstelle heruntergeladen, wohingegen in anderen festgestellt wurde, dass sich EarlyRat letztlich in Phishing-Dokumenten befand. Wie viele andere Remote-Access-Trojaner (RATs) sammelt EarlyRat bei seiner Aktivierung Systeminformationen und überträgt sie anhand einer bestimmten Vorlage an den C2-Server. Die übertragenen Daten enthalten eindeutige Maschinenkennungen (ID) und Abfragen, die mit den im ID-Feld angegebenen kryptografischen Schlüsseln verschlüsselt werden.
Was die einzelnen Funktionen anbelangt, so ist EarlyRat sehr einfach gehalten und beschränkt sich hauptsächlich auf die Ausführung von Befehlen. Zudem weist EarlyRat einige Gemeinsamkeiten mit MagicRat auf – der Malware, die zuvor von Lazarus eingesetzt wurde. Dazu gehören die Verwendung von Frameworks (QT für MagicRat und PureBasic für EarlyRat) und die eingeschränkte Funktionalität beider RATs.
„In der umfangreichen und sich rasch entwickelnden Bedrohungslandschaft treffen wir auf zahlreiche cyberkriminelle Akteure und Gruppen, die in wechselnden Zusammensetzungen operieren“, erklärt Jornt van der Wiel, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Häufig übernehmen Gruppen den Code von anderen Gruppen und sogar Affiliates, die als unabhängige Einheiten betrachtet werden können, wechseln zwischen verschiedenen Malware-Arten. Hinzu kommt, dass Untergruppen von APT-Gruppen, wie beispielsweise Andariel von Lazarus, typische Cybercrime-Aktivitäten wie die Verbreitung von Ransomware durchführen. Wenn wir uns auf Taktiken, Techniken und Prozeduren (TTPs) konzentrieren, wie wir es bei Andariel getan haben, können wir die Zuordnungszeit erheblich verkürzen und Angriffe in einem frühen Stadium erkennen.“
www.kaspersky.de