Kaspersky heeft een nieuwe malwarefamilie ontdekt die gebruikt wordt door Andariel, een subgroep van Lazarus.
Andariel, een advanced persistent threat (APT), opereert al meer dan tien jaar binnen de Lazarus-groep en staat al geruime tijd op de radar van Kaspersky-onderzoekers. Recentelijk hebben ze de campagne van Andariel gevonden en een voorheen ongedocumenteerde malwarefamilie blootgelegd en de aanvullende tactieken, technieken en procedures (TTP’s) geïdentificeerd.
Andariel initieert infecties door gebruik te maken van een zogenoemd Log4j-exploit, waarmee aanvullende malware kan worden gedownload van de command-and-control (C2) infrastructuur.
Onderzoekers van Kaspersky stuitten onder andere op een versie van EarlyRat in een van de Log4j-gevallen. EarlyRat verzamelt, net als veel andere Remote Access Trojaanse paarden (RAT’s), systeeminformatie bij activering en verzendt deze naar de C2-server met behulp van een specifiek sjabloon. De verzonden gegevens bevatten unieke machine-identificatoren (ID) en zoekopdrachten, die worden versleuteld met behulp van cryptografische sleutels die in het ID-veld zijn gespecificeerd.