hacker, attack, Trojan.jpg

Den nordkoreanske hackergruppe Lazarus tilføjer ny RAT til sit malware-værktøjssæt

Lazarus har brugt den nye fjernadgang Trojan i kampagner, der udnytter Log4Shell-sårbarheden og målretter mod energiselskaber.

Sikkerhedsforskere har opdaget en ny fjernadgang Trojan (RAT), der bruges i angrebskampagner i år af Lazarus, en hackergruppe, der er knyttet til den nordkoreanske regering. Den nye RAT er blevet brugt sammen med andre malwareimplantater, der tilskrives Lazarus, og den bruges hovedsageligt i de første faser af et angreb.

Døbt MagicRAT, det nye Lazarus malware-program blev udviklet ved hjælp af Qt, en ramme, der almindeligvis bruges til at udvikle grafiske brugergrænseflader til applikationer på tværs af platforme. Da trojaneren ikke har en GUI, forskere fra Cisco Talos mener, at grunden til at bruge Qt var at gøre detektion sværere.

“Talos mener, at målet var at øge kodens kompleksitet og dermed gøre menneskelig analyse sværere,” sagde Cisco-forskerne i deres rapport. “På den anden side, da der er meget få eksempler (hvis nogen) på malware programmeret med Qt Framework, gør dette også maskinindlæring og heuristisk analysedetektion mindre pålidelig.”

Sådan fungerer MagicRAT-malware

Ud over at bruge Qt-klasser i hele sin kodebase gemmer MagicRAT også konfigurationsdata såsom tre kodede kommando-og-kontrol-URL’er i en QSettings-klasse. Når den er implementeret, opretter den to planlagte opgaver for at opnå vedholdenhed ved genstart af systemet og kopierer en genvejsfil med navnet OneNote i startmappen.

Trojanen indsamler derefter systemoplysninger ved hjælp af kommandolinjeværktøjer og uploader den resulterende fil til C2-serverne. Hackere kan oprette forbindelse eksternt til MagicRAT og få shell-adgang på systemet, der giver dem mulighed for at udføre yderligere praktisk hacking.

Forskerne fandt også andre malware-nyttelast på C2-serverne, der var skjult som GIF-filer. Disse omfattede en letvægtsportscanner og en mere kompleks RAT kaldet TigerRAT, der er blevet tilskrevet Lazarus-gruppen siden 2021.

Ud over kommandoudførelse giver TigerRAT angribere skærmoptagelse, SOCKS proxy tunneling, keylogging og filhåndteringsfunktioner. De nyeste varianter har også en funktion kaldet USB Dump, der giver hackerne mulighed for at søge efter filer med bestemte udvidelser i en bestemt mappe, arkivere de fundne filer og uploade arkivet til C2. Dette kan være en dataeksfiltreringsfunktion rettet mod tilsluttede USB-lagerenheder.

MagicRAT fik også mulighed for at slette sig selv fra et system via en eksekverbar BAT-fil i de nyere versioner. Dette er i tråd med teorien om, at trojaneren kun bruges i de første faser af angrebet til rekognoscering og implementering af yderligere nyttelast på interessante offermaskiner. Dette kan også forklare, hvorfor det ikke er blevet identificeret før, selvom angrebskampagnen, hvor det er blevet brugt, fortsatte i flere måneder og er blevet dokumenteret af flere sikkerhedsfirmaer og CERT’er i år.

Log4Shell udnytter at ramme VMware Horizon

Ifølge Cisco Talos er MagicRAT blevet brugt sammen med andre tidligere dokumenterede Lazarus-malwareimplantater såsom VSingle i angreb, der udnyttede Log4Shell-sårbarheden på offentligt konfronterende VMware Horizon-servere mellem februar og juli.

Log4Shell er en kritisk sårbarhed, der blev fundet og lappet i november 2021 i et populært Java-bibliotek kaldet log4j, der bruges i millioner af applikationer. CISA udsendte en advarsel i juni, der advarede organisationer om, at flere trusselsaktører målretter mod upatchede VMware Horizon-servere via Log4Shell-fejlen. I juli frigav agenturet yderligere indikatorer for kompromis fra sine hændelsesresponsengagementer.

Angrebene set af Cisco Talos har en vis overlapning med IOC’erne frigivet af CISA og målrettede energiselskaber fra USA, Canada og Japan med det sandsynlige mål at etablere langsigtet adgang og udføre spionage.

Når angriberne udnyttede Log4Shell, bruger de VMware-noden.exe-filen til at udføre deres eget kommandolinjescript for at åbne en interaktiv omvendt shell, der ville køre med VMware Horizons privilegier – typisk administrator. I nogle tilfælde brugte angriberne PowerShell-scripts. I alle tilfælde implementerede angriberne VSingle, et malware-program af bagdørstype, der har været forbundet med Lazarus-angreb siden 2021.

VSingle bruges til rekognoscering, dataeksfiltrering og manuel bagdør til systemer ved at tilføje yderligere lokale administrative konti og konti med fjernadgang til skrivebordet. Det bruges også til at implementere SSH-tunneling og proxyværktøjer. Trojanen kan downloade og udføre yderligere plug-ins fra C2-serveren, der også er shellcode- eller scriptfiler i forskellige formater.

I flere tilfælde brugte angriberne VSingle til at implementere Impacket, en samling pythonklasser til at arbejde med netværksprotokoller. Dette bruges til at udføre lateral bevægelse i Active Directory-miljøer.

I et tilfælde observerede forskerne, at MagicRAT blev implementeret sammen med VSingle, mens VSingle i et andet tilfælde blev ledsaget af YamaBot, et trojansk program skrevet i Go, der for nylig blev tilskrevet Lazarus af Japans JPCERT.

Ud over rekognoscering, lateral bevægelse og implementering af brugerdefinerede implantater involverede Lazarus-angrebene også legitimationshøst fra lokale systemer ved hjælp af forskellige værktøjer som Mimikatz og Procdump, exfiltrering af Active Directory-data, deaktivering af Windows Defender, opsætning af SOCKs-proxyer og mere. Cisco Talos-rapporten indeholder en detaljeret liste over observerede taktikker, teknikker og procedurer (TTP’er) samt IOC’er, der er knyttet til denne angrebskampagne.

Kilde: CSO

Foto: Pexels

Scroll to Top