Una nueva familia de malware en Andariel a la que se le ven las costuras

.

Andariel, una Amenaza Persistente Avanzada (APT), ha sido empleada por Lazarus durante una década y siempre ha sido monitoreada por los especialistas de Kaspersky, quienes han identificado actualizaciones que revelan sus Métodos, Técnicas y Procedimientos (MTP). Para iniciar la infección, Andariel se aprovecha un exploit de Log4j, lo cual permite la descarga del malware desde la infraestructura de comando y control (C2). Los expertos observaron que  poco después de utilizar el exploit Log4j se descarga el backdoor DTrack.

Kaspersky reprodujo la ejecución de instrucciones y encontró que la campaña de Andariel se estaba llevando a cabo por un operador humano, muy probablemente con escasa destreza, como se evidencia por los numerosos fallos, algunos de ellos de tipografía. Por ejemplo, en lugar de escribir ‘program’ (programa en inglés), el operador escribió ‘prorgam’. Un fallo infantil que explica justamente la intención del titular de este post.

un-ejemplo-de-phishing

El troyano EarlyRat en Andariel

Por muy chapucero que sea el que está detrás de esta amenaza, no significa que no tengamos que prestar mucha atención a este ataque, que llega en forma de troyano de acceso remoto denominado EarlyRat. Al activarse, éste adquiere datos sobre el sistema y los envía a través de una plantilla especializada al servidor C2. Los datos abarcan identificadores de máquina (ID) exclusivos, así como consultas que son codificadas mediante claves encriptadas indicadas en el apartado ID.

Desde la perspectiva de funcionalidad, EarlyRat es una opción sencilla, centrada principalmente en la ejecución de órdenes y presenta ciertas similitudes con MagicRat, un software malicioso desarrollado previamente por Lazarus.

Los subgrupos APT, como Andariel, de Lazarus, participan en actividades típicas de ciberdelincuencia, como la implementación de ransomware. Al centrarnos en las Tácticas, Técnicas y Procedimientos (TTP), como hicimos con Andariel, podemos reducir significativamente el tiempo de respuesta y detectar ataques en fase temprana”, comenta Jornt van der Wiel, analista sénior de seguridad del Equipo de Análisis e Investigación Global (GReAT) en Kaspersky.

Indicaciones de Kaspersky

En aras de reducir el peligro de padecer este tipo de ataques cibernéticos, se sugiere seguir los consejos de los especialistas de Kaspersky:

 

¡Suscríbete a nuestra Newsletter!
Mira nuestras
Últimas noticias relacionadas
¡Suscríbete a nuestra Newsletter!

¡Suscríbete a nuestra revista!