Alors qu’il menait des recherches sans rapport avec le sujet, Kaspersky est tombé sur la campagne d’Andariel et a décidé de l’approfondir. Les chercheurs ont ainsi découvert une famille de logiciels malveillants jusqu’alors non documentée et identifié d’autres tactiques, techniques et procédures (TTP) utilisées par Andariel.

Andariel initie les infections en exploitant un exploit Log4j, qui permet le téléchargement de logiciels malveillants supplémentaires à partir de son infrastructure de commande et de contrôle (C2). Bien que le premier logiciel malveillant téléchargé n’ait pas été capturé, il a été observé que la porte dérobée DTrack a été téléchargée peu de temps après l’exploitation de Log4j.

Un aspect saisissant de l’enquête est apparu lorsque Kaspersky a pu reproduire les commandes exécutées par les opérateurs à l’origine de la campagne d’Andariel. Il est apparu clairement que ces commandes étaient exécutées par un opérateur humain, vraisemblablement une personne ayant récemment rejoint l’opération, comme en témoignent les nombreuses erreurs et fautes de frappe commises. Par exemple, l’opérateur a écrit par erreur "Prorgam" au lieu de "Program".

Parmi les découvertes, les chercheurs de Kaspersky ont trouvé une version d’EarlyRat dans l’un des cas de Log4j. Dans un premier temps, ils ont supposé qu’EarlyRat avait été téléchargé via la vulnérabilité de Log4j. Cependant, une enquête plus approfondie a permis de découvrir des documents de phishing qui ont finalement déployé EarlyRat.

Comme de nombreux autres chevaux de Troie d’accès à distance (RAT), EarlyRat recueille des informations sur le système lors de son activation et les transmet au serveur C2 à l’aide d’un modèle spécifique. Les données transmises comprennent des identifiants de machine uniques (ID) et des requêtes, qui sont chiffrées à l’aide de clés cryptographiques spécifiées dans le champ ID.

En termes de fonctionnalités, EarlyRat fait preuve de simplicité, se limitant principalement à l’exécution de commandes. Il est intéressant de noter qu’EarlyRat partage certaines similitudes de haut niveau avec MagicRat - le logiciel malveillant déjà déployé par Lazarus - telles que l’utilisation de cadres (QT pour MagicRat et PureBasic pour EarlyRat) et la fonctionnalité restreinte des deux RATs.

"Dans le vaste paysage de la cybercriminalité, nous rencontrons de nombreux acteurs et groupes qui opèrent avec des compositions fluides. Il est courant que des groupes adoptent le code d’autres groupes. Même les groupes affiliés, qui peuvent être considérés comme des entités indépendantes, passent d’un type de logiciel malveillant à l’autre. Pour compliquer les choses, des sous-groupes de groupes APT, comme Andariel de Lazarus, se livrent à des activités cybercriminelles typiques, comme le déploiement de ransomwares. En se concentrant sur les tactiques, techniques et procédures (TTP), comme nous l’avons fait avec Andariel, nous pouvons réduire considérablement le temps d’attribution et détecter les attaques à leurs premiers stades ", commente Jornt van der Wiel, chercheur principal en sécurité, GReAT chez Kaspersky.