Nueva familia de malware utilizada por Andariel, subgrupo de Lazarus, descubierta por Kaspersky

EarlyRat es utilizada junto al malware DTrack y el ransomware Maui. El descubrimiento ayuda a reducir el tiempo de respuesta frente a esta amenaza y detecta proactivamente los ataques en fase temprana.

La amenaza persistente avanzada (APT) Andariel es utilizada por Lazarus desde hace ya diez años y ha estado siempre en el radar de los expertos de Kaspersky, que han detectado novedades que permiten conocer sus Técnicas, Tácticas y Procedimientos (TTP).

Andariel inicia la infección aprovechando un exploit de Log4j que permite la descarga del malware desde la infraestructura de comando y control (C2). Se observó que el backdoor DTrack se descarga poco después del uso del exploit Log4j.

Kaspersky replicó el proceso de ejecución de comandos y descubrió que la campaña de Andariel estaba siendo ejecutada por un operador humano, casi con toda seguridad, con poca experiencia, como lo demuestran los numerosos errores, algunos de ellos tipográficos. Por ejemplo, el operador escribió ‘prorgam’ en lugar de ‘program’ (programa en inglés).

Como muchos otros troyanos de acceso remoto, EarlyRat recopila información del sistema tras su activación y la transmite al servidor C2 a través de una plantilla específica. Los datos incluyen identificadores de máquina (ID) únicos, además de consultas que se cifran mediante claves criptográficas especificadas en el campo ID.

EarlyRat es simple desde el punto de vista funcional, se limita principalmente a la ejecución de comandos y comparte ciertas similitudes con MagicRat, malware implementado anteriormente por Lazarus.

“Dentro del amplio terreno que ocupa el cibercrimen, nos encontramos con numerosos actores y grupos que adoptan código de otros, e incluso de afiliados que pueden considerarse entidades independientes, usando diferentes tipos de malware. Los subgrupos APT, como Andariel, de Lazarus, participan en actividades típicas de ciberdelincuencia, como la implementación de ransomware. Al centrarnos en las Tácticas, Técnicas y Procedimientos (TTP), como hicimos con Andariel, podemos reducir significativamente el tiempo de respuesta y detectar ataques en fase temprana”, comenta Jornt van der Wiel, analista sénior de seguridad del Equipo de Análisis e Investigación Global (GReAT) en Kaspersky.

Para reducir el riesgo de sufrir este tipo de ciberataques, los expertos de Kaspersky recomiendan:

* Proveer al equipo a cargo del SOC de acceso a la última inteligencia de amenazas. Kaspersky Threat Intelligence ofrece un sencillo acceso a esta información y datos de ciberataques recopilados por Kaspersky durante los últimos 20 años.

* Instalar soluciones EDR y contra amenazas persistentes avanzadas (APT) para la detección de riesgos y la investigación y resolución de incidentes en fase temprana. Proveer al equipo del SOC de la última información de riesgos y mejorar sus capacidades con formación y entrenamiento profesional, algo que ofrecen Kaspersky Expert Security framework y Kaspersky Online Cyber Security Training.

* Usar servicios y soluciones de confianza como Kaspersky Incident Response, Kaspersky Endpoint Detection and Response Expert o Kaspersky Managed Detection and Response para identificar y detener ataques en fase inicial, antes de que los ciberdelincuentes consigan sus objetivos.

* Hablar con los empleados sobre cómo se producen los ciberataques: correos electrónicos, webs o archivos descargados de fuentes de terceros son importantes vectores de ataque. Es interesante formar a la plantilla y realizar pruebas controladas para identificar amenazas. Kaspersky Security Awareness es un aliado a tener en cuenta en este sentido.