كاسبرسكي تكشف النقاب عن برامج خبيثة تستخدمها العصابات السيبرانية

اكتشف باحثو كاسبرسكي خلال تحقيق عميق تناول البرامج الخبيثة المستخدمة ضمن أنشطة Andariel، وهي عصابة فرعية من Lazarus، مجموعة برامج خبيثة جديدة تسمى EarlyRat، تستخدمها Andariel إلى جانب برامج DTrack الخبيثة وبرامج الفدية Maui.

ويساعد التحليل الجديد الذي أجرته الشركة في تقليل الوقت اللازم لتوفير الدعم المطلوب، والكشف الاستباقي للهجمات في مراحل مبكرة من إطلاقها.

وتعمل عصابة التهديدات المتقدمة المستمرة «أندارييل» منذ ما يزيد على 10 سنوات ضمن عصابة لازاروس، وتمكن باحثو كاسبرسكي من رصدها منذ زمن.

وفي الآونة الأخيرة، تمكنوا من اكتشاف حملة Andariel، وتعرفوا على مجموعة برامج خبيثة غير موثقة سابقاً، تقوم بتحديد تكتيكاتها وتقنياتها وإجراءاتها الإضافية.

وتبدأ عصابة Andariel بإحداث الإصابات من خلال الاستفادة من استغلال ثغرة تسمى Log4j التي تتيح تحميل برامج خبيثة إضافية من بنيتها التحتية للقيادة والتحكم (C2).

ورغم عدم تحديد الجزء الأولي من البرامج الخبيثة التي تم تحميلها، لاحظ الباحثون تحميل الباب الخلفي DTrack لاحقاً، حيث حدث ذلك بعد وقت قصير من استغلال الثغرة الأمنية ذاتها.

وظهر جانب مذهل من التحقيق عندما تمكنت كاسبرسكي من تكرار عملية تنفيذ الأمر، إذ اتضح أن الأوامر داخل حملة Andariel كان يتم تنفيذها من قبل عامل بشري يفترض أنه يتمتع بخبرة قليلة، بناءً على الأخطاء العامة والإملائية العديدة التي ارتكبها.

وعلى سبيل المثال، كتب الشخص المسؤول على التشغيل عن طريق الخطأ كلمة «Prorgam» بدلاً من التهجئة الصحيحة «Program».

ومن بين النتائج الأخرى، عثر باحثو كاسبرسكي عن طريق الصدفة على نسخة من EarlyRat في إحدى حالات ثغرة Log4j. وفي حالات أخرى، تم تحميل EarlyRat عبر الثغرة الأمنية Log4j، واكتشف في بعضها الآخر أن مستندات التصيد الاحتيالي قامت في النهاية بنشر برنامج EarlyRat.

وكما هي الحال للعديد من تروجنات مجموعة (RATs) الأخرى، يقوم برنامج EarlyRat بجمع معلومات النظام عند تفعيله.