Kaspersky mütəxəssisləri “Lazarus”-un tərkib hissəsi olan “Andariel” kiberqrupunun arsenalında yeni alət aşkar ediblər - EarlyRat adlandırılan uzaqdan giriş troyanı. “Andariel” onu DTrack casus proqramı və Maui fidyə proqramı ilə birlikdə istifadə edir.

İlkin yoluxma Log4j eksploytunun köməyilə baş verir. Ondan istifadə edilən hallardan birini təhlil edən Kaspersky mütəxəssisləri EarlyRat troyan versiyasını aşkar ediblər. Tədqiqat zamanı məlum olub ki, zərərli proqram Log4j-dən istifadə edərək aşkar edilmiş boşluq və ya fişinq sənədlərindəki linklər vasitəsilə cihaza daxil ola bilər.

Fişinq sənədinin nümunəsi 

Kaspersky mütəxəssisləri əmrlərin icrası prosesini yenidən yaratmağa nail olublar. Məlum olub ki, onlar təcrübəsiz olma ehtimalı yüksək olan bir operator - insan tərəfindən həyata keçirilib. Çoxsaylı səhvlər və yazı səhvləri bunu aydın şəkildə sübut edir, məsələn, "Program" əvəzinə "Prorgram" yazılması.

EarlyRat zərərli proqramı, bir çox digər Remote Access Trojans (RATs) kimi, aktivləşdirildikdən sonra sistem məlumatlarını toplayır və müəyyən nümunəyə uyğun olaraq komanda və idarəetmə serverinə göndərir. Onun ötürdüyü məlumatlara yoluxmuş maşınların unikal identifikatorları və bu identifikatorların köməyilə şifrələnən sorğular daxildir.

Funksionallıq baxımından EarlyRat troyanı sadədir və əsasən əmrləri icra etməklə öz işini tamamlayır. O, “Lazarus” arsenalına daxil olan zərərli proqram “MagicRat” ilə yüksək səviyyədə oxşarlığa malikdir. Oxşarlıqlar sırasına çərçivələrin istifadəsi (MagicRat üçün QT və EarlyRat üçün PureBasic) və hər iki troyanın məhdud funksionallığı daxildir.

“Tərkibi dəyişdirilən çoxlu kiberqruplar görürük. Müxtəlif növ zərərli proqramlar arasında keçid edərək, müstəqil qurumlar kimi qəbul edilə bilən əlaqəli təşkilatlar da daxil olmaqla, digər kiberqrupların kodunun adaptasiyası onlar üçün adi bir təcrübədir. Mürəkkəb əməliyyatlara əlavə olaraq, “Lazarus”-un “Andariel” kimi altqrupları fidyə proqramlarının cihazlara daxil edilməsi kimi daha tipik kibercinayətkarlıq fəaliyyətlərini həyata keçirir. “Andariel”-in aqşkar olunduğu insidentlərdə olduğu kimi, taktika, texnika və prosedurlar haqqında bilik, əlaqələndirmə vaxtını əhəmiyyətli dərəcədə azalda və hücumları ilkin mərhələdə aşkarlaya bilər”, - Qlobal Tədqiqatlar və Təhlükələrin Təhlili Mərkəzinin rəhbəri İqor Kuznetsov qeyd edir.

“Andariel” kampaniyası haqqında ətraflı məlumatı Securelist.ru saytındakı hesabatda görə bilərsiniz: https://securelist.com/lazarus-andariel-mistakes-and-easyrat/110119/. 

Hədəfli kiberhücumların risklərini minimuma endirmək üçün Kaspersky şirkətlərə tövsiyə edir:

Təhlükəsizlik Monitorinqi Mərkəzinə (Security Operations Center) kibertəhlükələrə dair ən son məlumatlara malik xidmətlərə çıxışı təmin edin (Threat intelligence, TI). Məsələn, Kaspersky Threat Intelligence portalı Kaspersky tərəfindən kiberhücumlar haqqında 25 ildən artıq müddətdə toplanmış məlumatları əldə etmək imkanı verir;

son nöqtələrdə baş verən kiberinsidentləri aşkar etmək, araşdırmaq və vaxtında aradan qaldırmaq üçün Kaspersky EDR Expert kimi EDR həllərindən istifadə edin;

son nöqtələrin müdafiəsindən əlavə, məsələn, Kaspersky Anti Targeted Attack kimi mürəkkəb təhdidləri ilkin mərhələdə - şəbəkə səviyyəsində aşkarlaya bilən müəssisə səviyyəli həll tətbiq edin;

bir çox hədəfli hücumlar fişinq və ya digər sosial mühəndislik üsulları ilə başladığı üçün işçilərin rəqəmsal savadlılığını xüsusi təlimlər vasitəsilə, məsələn, Kaspersky Automated Security Awareness Platform-dan istifadə etməklə artırmaq lazımdır.