Andariel, una Amenaza Persistente Avanzada (APT), ha sido empleada por Lazarus durante una década y siempre ha sido monitoreada por los especialistas de Kaspersky, quienes han identificado actualizaciones que revelan sus Métodos, Técnicas y Procedimientos (MTP). Para iniciar la infección, Andariel se aprovecha un exploit de Log4j, lo cual permite la descarga del malware desde la infraestructura de comando y control (C2). Los expertos observaron que poco después de utilizar el exploit Log4j se descarga el backdoor DTrack.
Kaspersky reprodujo la ejecución de instrucciones y encontró que la campaña de Andariel se estaba llevando a cabo por un operador humano, muy probablemente con escasa destreza, como se evidencia por los numerosos fallos, algunos de ellos de tipografía. Por ejemplo, en lugar de escribir ‘program’ (programa en inglés), el operador escribió ‘prorgam’. Un fallo infantil que explica justamente la intención del titular de este post.
El troyano EarlyRat en Andariel
Por muy chapucero que sea el que está detrás de esta amenaza, no significa que no tengamos que prestar mucha atención a este ataque, que llega en forma de troyano de acceso remoto denominado EarlyRat. Al activarse, éste adquiere datos sobre el sistema y los envía a través de una plantilla especializada al servidor C2. Los datos abarcan identificadores de máquina (ID) exclusivos, así como consultas que son codificadas mediante claves encriptadas indicadas en el apartado ID.
Desde la perspectiva de funcionalidad, EarlyRat es una opción sencilla, centrada principalmente en la ejecución de órdenes y presenta ciertas similitudes con MagicRat, un software malicioso desarrollado previamente por Lazarus.
Los subgrupos APT, como Andariel, de Lazarus, participan en actividades típicas de ciberdelincuencia, como la implementación de ransomware. Al centrarnos en las Tácticas, Técnicas y Procedimientos (TTP), como hicimos con Andariel, podemos reducir significativamente el tiempo de respuesta y detectar ataques en fase temprana”, comenta Jornt van der Wiel, analista sénior de seguridad del Equipo de Análisis e Investigación Global (GReAT) en Kaspersky.
Indicaciones de Kaspersky
En aras de reducir el peligro de padecer este tipo de ataques cibernéticos, se sugiere seguir los consejos de los especialistas de Kaspersky:
- Implementar en el equipo encargado del Centro de Operaciones de Seguridad (SOC) la última solución de inteligencia de amenazas. Kaspersky Threat Intelligence proporciona una forma sencilla de acceder a esta información y a los datos recopilados por Kaspersky sobre ciberataques en los últimos 20 años.
- Instalar soluciones EDR y contra amenazas persistentes avanzadas (APT) para detectar riesgos e investigar y resolver incidentes en las primeras etapas. Proporcionar al equipo del SOC la información más actualizada sobre los riesgos y mejorar sus capacidades a través de formación y entrenamiento profesional. Esto es posible gracias a Kaspersky Expert Security framework y Kaspersky Online Cyber Security Training.
- Utilizar servicios y soluciones de confianza, como Kaspersky Incident Response, Kaspersky Endpoint Detection and Response Expert o Kaspersky Managed Detection and Response, para identificar y detener ataques en sus primeras etapas, antes de que los ciberdelincuentes logren sus objetivos.