Andariel wird seit mehr als einem Jahrzehnt als Advanced Persistent Threat (APT) eingeschätzt und von Sicherheitsexperten beobachtet. Eine vor kurzem gelaunchte Malware-Kampagne bedient sich – Andariel-typisch – einer Log4j-Sicherheitslücke, um die Infektion einzuleiten und den Download zusätzlicher Malware aus der C2-Infrastruktur (Command-and-Control) zu ermöglichen. Dafür wurde die DTrack-Backdoor genutzt und die Ransomware Maui eingesetzt. So weit, so bekannt. Der Research-Abteilung des Sicherheitsanbieters Kaspersky ist es nun gelungen darüber hinaus eine bisher nicht dokumentierte Malware-Familie aufzudecken und innerhalb der aktuellen Andariel-Kampagne mitsamt ihrer Taktiken, Techniken und Prozeduren (TTPs) zu verorten.
Bei eingehenden Analysen der böswilligen Aktivitäten der Lazarus-Untergruppe Andariel identifizierten Kaspersky-Experten die neue Malware-Familie: EarlyRat. [1] EarlyRat ist in Hinblick auf die Funktionalität sehr einfach gehalten und beschränkt sich hauptsächlich auf die Ausführung von Befehlen, zeigt dabei allerdings einige Gemeinsamkeiten mit der zuvor von Lazarus eingesetzten Malware MagicRat. [2] Dazu gehört etwa die Verwendung von Frameworks: MagicRat verwendet QT und EarlyRat nutzt PureBasic. Wie viele andere Remote-Access-Trojaner sammelt auch EarlyRat, teils auch über Phishing-Dokumente distribuiert, bei Aktivierung Systeminformationen und überträgt sie anhand einer bestimmten Vorlage an den C2-Server. Die übertragenen Daten enthalten eindeutige Maschinenkennungen (ID) und Abfragen, die mit den im ID-Feld angegebenen kryptografischen Schlüsseln verschlüsselt werden.
„In der umfangreichen und sich rasch entwickelnden Bedrohungslandschaft treffen wir auf zahlreiche cyberkriminelle Akteure und Gruppen, die in wechselnden Zusammensetzungen operieren“, erläutert der Senior Security Researcher im Kasperskys Global Research und Analysis Team Jornt van der Wiel. „Häufig übernehmen Gruppen den Code von anderen Gruppen und sogar Affiliates, die als unabhängige Einheiten betrachtet werden können, und wechseln zwischen verschiedenen Malware-Arten.“ Ein besonders spannender Aspekt der Untersuchung sei gewesen, als Kaspersky-Experten den Prozess der Befehlsausführung nachstellen konnten. Dabei sei deutlich geworden, dass die Befehle in der Andariel-Kampagne vermutlich von einem eher unerfahrenen Anwender geschrieben worden sind, wie zahlreiche Fehler und Tippfehler belegen. Anstelle von „Programm“ habe der Operator beispielsweise „Prorgram“ geschrieben – doch eher ungewöhnlich für die üblicherweise gut ausgebildeten APTs.
[1] https://securelist.com/lazarus-andariel-mistakes-and-easyrat/110119/
Weitere Informationen zur Andariel-Kampagne sind verfügbar
