Kaspersky a mené une enquête approfondie sur les activités d’Andariel, un sous-groupe notoire du groupe Lazarus. Au cours de cette enquête, les chercheurs de Kaspersky ont découvert une nouvelle famille de logiciels malveillants appelée EarlyRat, qui est utilisée par Andariel en plus de leur utilisation connue du malware DTrack et du ransomware Maui. L’analyse des TTP d’Andariel permet de réduire le temps nécessaire à l’attribution et de détecter de manière proactive les attaques à leurs premiers stades.
Tribune – Alors qu’il menait des recherches sans rapport avec le sujet, Kaspersky est tombé sur la campagne d’Andariel et a décidé de l’approfondir. Les chercheurs ont ainsi découvert une famille de logiciels malveillants jusqu’alors non documentée et identifié d’autres tactiques, techniques et procédures (TTP) utilisées par Andariel.
Andariel initie les infections en exploitant un exploit Log4j, qui permet le téléchargement de logiciels malveillants supplémentaires à partir de son infrastructure de commande et de contrôle (C2). Bien que le premier logiciel malveillant téléchargé n’ait pas été capturé, il a été observé que la porte dérobée DTrack a été téléchargée peu de temps après l’exploitation de Log4j.
Un aspect saisissant de l’enquête est apparu lorsque Kaspersky a pu reproduire les commandes exécutées par les opérateurs à l’origine de la campagne d’Andariel. Il est apparu clairement que ces commandes étaient exécutées par un opérateur humain, vraisemblablement une personne ayant récemment rejoint l’opération, comme en témoignent les nombreuses erreurs et fautes de frappe commises. Par exemple, l’opérateur a écrit par erreur “Prorgam” au lieu de “Program”.
Parmi les découvertes, les chercheurs de Kaspersky ont trouvé une version d’EarlyRat dans l’un des cas de Log4j. Dans un premier temps, ils ont supposé qu’EarlyRat avait été téléchargé via la vulnérabilité de Log4j. Cependant, une enquête plus approfondie a permis de découvrir des documents de phishing qui ont finalement déployé EarlyRat.