Cyberthreat.id – Analis keamanan dari Kaspersky mengungkapkan bahwa mereka menemukan trojan akses jarak jauh (RAT) yang sebelumnya tidak berdokumen bernama 'EarlyRAT,' yang digunakan oleh Andariel, sub-grup dari grup peretasan yang disponsori negara Lazarus Korea Utara.

Andariel (alias Stonefly) diyakini sebagai bagian dari grup peretasan Lazarus yang dikenal menggunakan pintu belakang modular DTrack untuk mengumpulkan informasi dari sistem yang dikompromikan, seperti riwayat penelusuran, data yang diketik (keylogging), tangkapan layar, proses yang sedang berjalan, dan banyak lagi.

Dikutip dari Bleeping Computer, dalam laporan yang lebih baru dari WithSecure, ditemukan bahwa grup Korea Utara yang menggunakan varian DTrack yang lebih baru, kemungkinan Andariel, mengumpulkan kekayaan intelektual yang berharga selama dua bulan. Kaspersky juga menghubungkan Andariel dengan penyebaran ransomware Maui di Rusia, India, dan Asia Tenggara, sehingga kelompok ancaman sering kali berfokus untuk menghasilkan pendapatan.

“Grup peretasan menggunakan EarlyRAT untuk mengumpulkan informasi sistem dari perangkat yang dilanggar dan mengirimkannya ke server C2 (perintah dan kontrol) penyerang,” kata Kaspersky.

Penemuan RAT, yang berasal dari Kaspersky, menambah bagian lain dari teka-teki gudang senjata grup dan membantu para pembela HAM mendeteksi dan menghentikan penyusupan terkait. Peneliti menemukan EarlyRAT saat menyelidiki kampanye Andariel dari pertengahan 2022, di mana pelaku ancaman memanfaatkan Log4Shell untuk menembus jaringan perusahaan.

“Dengan mengeksploitasi kelemahan dalam perangkat lunak Log4j, Andariel mengunduh alat siap pakai seperti 3Proxy, Putty, Dumpert, dan Powerline untuk melakukan pengintaian jaringan, pencurian kredensial, dan pergerakan lateral,” kata peneliti.

Analis juga menemukan dokumen phishing dalam serangan ini, yang menggunakan makro untuk mengambil muatan EarlyRAT dari server yang terkait dengan kampanye ransomware Maui sebelumnya. EarlyRAT adalah alat sederhana yang, saat diluncurkan, mengumpulkan informasi sistem dan mengirimkannya ke server C2 melalui permintaan POST.

Fungsi utama kedua EarlyRAT adalah untuk menjalankan perintah pada sistem yang terinfeksi, mungkin untuk mengunduh muatan tambahan, mengekstraksi data berharga, atau mengganggu operasi sistem.

Kaspersky tidak menguraikan bagian depan itu tetapi mengatakan bahwa EarlyRAT sangat mirip dengan MagicRAT, alat lain yang digunakan oleh Lazarus, yang fungsinya mencakup pembuatan tugas terjadwal dan mengunduh malware tambahan dari C2. Para peneliti mengatakan bahwa aktivitas EarlyRAT yang diperiksa tampaknya dilakukan oleh operator manusia yang tidak berpengalaman, mengingat banyaknya kesalahan dan kesalahan ketik.

Diamati bahwa berbagai perintah yang dijalankan pada perangkat jaringan yang dilanggar diketik secara manual dan bukan hardcode, sering kali menyebabkan kesalahan akibat kesalahan ketik. Kecerobohan serupa mengungkap kampanye Lazarus kepada analis WithSecure tahun lalu, yang melihat operator grup lupa menggunakan proxy di awal hari kerja mereka dan mengekspos alamat IP Korea Utara mereka.