Los absurdos errores de Andariel y su nueva familia de malware

Introducción

Andariel, un subconjunto del conocido grupo Lazarus, es conocido por el uso del malware DTrack y el ransomware Maui. Durante el mismo período de actividad, Andariel también usó activamente la vulnerabilidad Log4j, según informaron Talos y Ahnlab. Como parte de su campaña, introdujeron varias familias de malware nuevas, como YamaBot y MagicRat, así como versiones actualizadas de NukeSped y, por supuesto, DTrack.

Hace poco, mientras investigábamos otra cosa, tropezamos con esta campaña y decidimos indagar un poco más. Esto nos llevó a descubrir una familia de malware desconocida hasta el momento y de una adición a su conjunto de TTP.

De la infección inicial a los dedos torpes

Andariel infecta equipos mediante la ejecución de un exploit Log4j que a su vez descarga malware adicional desde el servidor de administración. Lamentablemente, no pudimos capturar el primer malware que descargaron, pero vimos que poco después del exploit, se descargó el backdoor DTrack.

A partir de este punto la cosa se puso muy interesante, ya que pudimos reproducir los comandos que ejecutaban. Muy pronto quedó claro que los comandos eran ejecutados por un operador humano, y lo más probable es que no tuviese mucha experiencia, dada la cantidad de errores y erratas que cometía. Por ejemplo:

Aquí escribió por error “Prorgam” en lugar de “Program”. Otro momento divertido fue cuando, al cabo de un rato, los operadores se enteraron de que estaban en un sistema con un entorno en idioma portugués. Darse cuenta de ello les tomó demasiado tiempo (sólo después de ejecutar cmd.еxe /c net localgroup) como se puede ver a continuación:

También pudimos determinar el conjunto de herramientas estándar que Andariel instala y ejecuta durante la fase de ejecución del comando y que luego utiliza para explotar el objetivo. Veamos algunos ejemplos:

• Escritorio remoto Supremo;
• 3Proxy;
• Powerline;
• Putty;
• Dumpert;
• NTDSDumpEx;
• ForkDump;
• y otros más que figuran en nuestro informe privado.

Les presentamos a EarlyRat

Observamos por primera vez una versión de EarlyRat en uno de los casos mencionados de Log4j y supusimos que se descargaba a través de éste. Sin embargo, cuando empezamos a buscar más muestras, encontramos documentos de phishing que, en última instancia, instalaban EarlyRat. El documento de phishing en sí no es tan avanzado, como puede verse a continuación:

Una vez habilitadas las macros, se ejecuta el siguiente comando:

Es curioso que el código VBA hace ping a un servidor relacionado con la campaña de ransomware HolyGhost / Maui.

EarlyRat, al igual que muchos otros RATs, recopila información del sistema al iniciarse y la envía al servidor de administración utilizando la siguiente plantilla:

Como se puede ver arriba, hay dos parámetros diferentes en la solicitud: “id” y “query”. Además, también se admiten los parámetros “rep0” y “page”. Se utilizan en los siguientes casos:

• id: identificador único de la máquina utilizado como clave criptográfica para descifrar el valor de “query”;
• query: el contenido en sí. Se codifica en Base64 y se procesan con XOR con la clave especificada en el campo “id”;
• rep0: el valor del directorio actual;
• page: el valor del estado interno.

En términos de funcionalidad, EarlyRat es muy sencillo. Es capaz de ejecutar comandos y eso es lo más interesante que puede hacer. Existen algunas similitudes de alto nivel entre EarlyRat y MagicRat. Ambos están escritos utilizando un framework (QT para MagicRat y PureBasic para EarlyRat). Además, la funcionalidad de ambas RAT es muy limitada.

Conclusión

El grupo Lazarus es famoso por realizar tareas típicas de ciberdelincuencia, como instalar ransomware, a pesar de ser un grupo APT, lo que complica el panorama de la ciberdelincuencia. Además, utilizan una gran variedad de herramientas personalizadas para actualizar constantemente los programas maliciosos existentes y desarrollar otros nuevos.

Concentrarse en los TTP, como hicimos con Andariel, ayuda a acelerar la atribución y a detectar los ataques en sus primeras fases. Esta información también puede ayudar a adoptar medidas proactivas para impedir que se produzcan incidentes.

Los informes de inteligencia pueden ser de gran ayuda para protegerse contra estas amenazas. Si quiere estar al día con las últimas TTP utilizadas por los ciberdelincuentes o tiene preguntas sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.