Los expertos de Kaspersky han descubierto una nueva familia de malware llamada EarlyRat tras un exhaustivo rastreo de las actividades de Andariel, el relevante subgrupo de Lazarus. EarlyRat es utilizada junto al malware DTrack y el ransomware Maui. El descubrimiento ayuda a reducir el tiempo de respuesta frente a esta amenaza y detecta proactivamente los ataques en fase temprana.
La amenaza persistente avanzada (APT) Andariel es utilizada por Lazarus desde hace ya diez años y ha estado siempre en el radar de los expertos de Kaspersky, que han detectado novedades que permiten conocer sus Técnicas, Tácticas y Procedimientos (TTP).
Andariel inicia la infección aprovechando un exploit de Log4j que permite la descarga del malware desde la infraestructura de comando y control (C2). Se observó que el backdoor DTrack se descarga poco después del uso del exploit Log4j.
Kaspersky replicó el proceso de ejecución de comandos y descubrió que la campaña de Andariel estaba siendo ejecutada por un operador humano, casi con toda seguridad con poca experiencia, como lo demuestran los numerosos errores, algunos de ellos tipográficos. Por ejemplo, el operador escribió ‘prorgam’ en lugar de ‘program’ (programa en inglés).
Como muchos otros troyanos de acceso remoto, EarlyRat recopila información del sistema tras su activación y la transmite al servidor C2 a través de una plantilla específica. Los datos incluyen identificadores de máquina (ID) únicos, además de consultas que se cifran mediante claves criptográficas especificadas en el campo ID.
EarlyRat es simple desde el punto de vista funcional, se limita principalmente a la ejecución de comandos y comparte ciertas similitudes con MagicRat, malware implementado anteriormente por Lazarus.
“Dentro del amplio terreno que ocupa el cibercrimen, nos encontramos con numerosos actores y grupos que adoptan código de otros, e incluso de afiliados que pueden considerarse entidades independientes, usando diferentes tipos de malware. Los subgrupos APT, como Andariel, de Lazarus, participan en actividades típicas de ciberdelincuencia, como la implementación de ransomware. Al centrarnos en las Tácticas, Técnicas y Procedimientos (TTP), como hicimos con Andariel, podemos reducir significativamente el tiempo de respuesta y detectar ataques en fase temprana”, comenta Jornt van der Wiel, analista sénior de seguridad del Equipo de Análisis e Investigación Global (GReAT) en Kaspersky.
Para reducir el riesgo de sufrir este tipo de ciberataques, los expertos de Kaspersky recomiendan:
Para más detalles del análisis técnico e información sobre esta nueva campaña, visita Securelist