Эксперты «Лаборатории Касперского» обнаружили новый инструмент в арсенале хак-группы Andariel, которая входит в состав Lazarus. Троян удаленного доступа получил название EarlyRat, и исследователи считают, что Andariel использует его наряду с шпионским ПО DTrack и вымогателем Maui.

Первичное заражение осуществляется с помощью эксплоита Log4j и, анализируя один из случаев его использования, эксперты обнаружили версию трояна EarlyRat. В ходе его изучения выяснилось, что малварь может проникать на устройство через уязвимость, найденную с помощью Log4j, либо через ссылки в фишинговых документах.

Эксперты «Лаборатории Касперского» смогли воссоздать процесс выполнения команд. Оказалось, что их реализовывал оператор-человек, с большой степенью вероятности неопытный. Об этом свидетельствовали многочисленные ошибки и опечатки, например «Prorgam» вместо «Program».

EarlyRat, как и многие другие трояны удаленного доступа (Remote Access Trojan, RAT), собирает системную информацию после активации и передает ее на управляющий сервер по определенному шаблону. Данные, которые он передает, включают в себя уникальные идентификаторы зараженных машин и запросы, которые шифруются с использованием этих идентификаторов.

Что касается функциональности, EarlyRat отличается простотой и в основном ограничивается выполнением команд. Также отмечается, что он имеет высокий уровень сходства с MagicRat —вредоносной программой, которая входит в арсенал Lazarus. В числе сходств — использование фреймворков (QT для MagicRat и PureBasic для EarlyRat) и ограниченная функциональность обоих вредоносов.
Источник