Allerta EarlyRAT: nuovo e temibile malware che sfrutta la falla Log4j

Grazie al lavoro di alcuni ricercatori di sicurezza è stato individuata una nuova e finora sconosciuta famiglia di malware denominata EarlyRAT.

Questa, a quanto pare, viene diffusa da un sottogruppo di cybercriminali collegati con i famigerati hacker del gruppo Lazarus. Così come altri “prodotti” di questa gang, anche EalryRAT lavora sfruttando l’ormai falla Log4j, con focus sui server VMware Horizon.

Attraverso la collaborazione dei ricercatori di Cisco Talos, Symantec e Ahnlab (nonché un’operazione slegata di Kaspersky), l’agente malevolo è stato analizzato sotto ogni punto di vista.

Sebbene i ricercatori abbiano affermato che il RAT appena scoperto è molto basilare per funzionamento, con funzionalità di base per l’esecuzione di comandi e raccolta di dati, dimostra come Lazarus sia una minaccia concreta per la cybersecurity a livello mondiale. Varietà ed efficacia dei malware creati, infatti, rende questo gruppo uno dei più temuti a livello mondiale.

Gli analisti di Kaspersky hanno affermato come “Nonostante sia un gruppo APT, Lazarus è noto per eseguire attività tipiche del crimine informatico, come la distribuzione di ransomware, il che rende il panorama del crimine informatico complicato da affrontare” aggiungendo poi “il gruppo utilizza un’ampia varietà di strumenti personalizzati, aggiornando costantemente quelli esistenti e sviluppando nuovi malware“.

EarlyRAT è solo una delle tante creazioni del gruppo noto come Lazarus

Come si comporta EarlyRAT? Dopo l’exploit iniziale, gli attori delle minacce scaricano un malware dal server di comando e controllo (C2). Riguardo tale server, i ricercatori non sono riusciti ad ottenere ulteriori informazioni specifiche. Questo malware tende dunque ad eseguire DTrack, una backdoor ampiamente utilizzata dal gruppo Lazarus negli ultimi tre anni.

Gli aggressori hanno anche utilizzato una serie di strumenti standard e hanno abusato di vari servizi per sfruttare ulteriormente la situazione di vantaggio rispetto alla vittima. In tal senso, per esempio, è possibile citare il sistema di controllo da desktop remoto noto come SupRemo o l’applicazione di emulazione di terminale Putty.

Gli esperti, analizzando EarlyRAT, hanno poi affermato che questo ricorda un’altra famiglia di malware, nota come MagicRAT. Come è facile intuire anch’essa è stat realizzata dal già citato gruppo di criminali informatici.