ProgressCommunications.euwww.marcommit.nlwww.whizpr.nl
www.deepr.nlwww.whizpr.nlProgressCommunications.eu

Volg ook via:
Datum: (3 jaar en 8 dagen geleden)
Bedrijf:
PR: Progress Communications

Kaspersky ontdekt nieuwe malwarefamilie gebruikt door Andariel, subgroep van Lazarus

Utrecht, 29 juni 2023 – Tijdens een diepgaand malware-onderzoek naar de activiteiten van Andariel, een beruchte subgroep van Lazarus, ontdekten Kaspersky-onderzoekers een nieuwe malwarefamilie genaamd EarlyRat. Deze malware wordt ingezet naast de DTrack-malware en Maui-ransomware die Andariel ook gebruikt.

Andariel, een advanced persistent threat (APT), opereert al meer dan tien jaar binnen de Lazarus-groep en staat al geruime tijd op de radar van Kaspersky-onderzoekers. Recentelijk hebben ze de campagne van Andariel gevonden en een voorheen ongedocumenteerde malwarefamilie blootgelegd en de aanvullende tactieken, technieken en procedures (TTP's) geïdentificeerd.

Andariel initieert infecties door gebruik te maken van een Log4j-exploit, waarmee aanvullende malware kan worden gedownload van de command-and-control (C2) infrastructuur. Hoewel het eerste stuk gedownloade malware niet werd vastgelegd, werd geconstateerd dat de DTrack-backdoor kort na de Log4j-exploit werd gedownload.

Een fascinerend aspect van het onderzoek kwam aan het licht toen Kaspersky in staat was om het opdrachtuitvoeringsproces te repliceren. Het werd duidelijk dat de commando's binnen de Andariel-campagne werden uitgevoerd door een menselijke operator. Waarschijnlijk door iemand met weinig ervaring omdat er vele fouten en typefouten werden gemaakt. De operator schreef bijvoorbeeld per ongeluk "Prorgam" in plaats van "Program".

Onderzoekers van Kaspersky stuitten onder andere op een versie van EarlyRat in een van de Log4j-gevallen. In sommige gevallen werd EarlyRat gedownload via de Log4j-kwetsbaarheid, terwijl in andere gevallen werd ontdekt dat phishing-documenten uiteindelijk EarlyRat implementeerden.


Een voorbeeld van een phishing-document

EarlyRat verzamelt, net als veel andere Remote Access Trojaanse paarden (RAT's), systeeminformatie bij activering en verzendt deze naar de C2-server met behulp van een specifiek sjabloon. De verzonden gegevens bevatten unieke machine-identificatoren (ID) en zoekopdrachten, die worden versleuteld met behulp van cryptografische sleutels die in het ID-veld zijn gespecificeerd.

In termen van functionaliteit vertoont EarlyRat eenvoud, voornamelijk beperkt tot het uitvoeren van opdrachten. Interessant genoeg deelt EarlyRat enkele overeenkomsten op hoog niveau met MagicRat - de malware die eerder is ingezet door Lazarus - zoals het gebruik van frameworks (QT voor MagicRat en PureBasic voor EarlyRat) en de beperkte functionaliteit van beide RAT's.

"In het uitgestrekte landschap van cybercriminaliteit komen we veel spelers en groepen tegen die met een vloeiende samenstelling werken. Het komt vaak voor dat groepen code van anderen overnemen. Wat de complexiteit nog vergroot zijn subgroepen van APT-groepen, zoals Andariel van Lazarus, die zich bezighouden met typische cybercriminele activiteiten zoals het inzetten van ransomware. Door ons te richten op tactieken, technieken en procedures (TTP's), zoals we hebben gedaan met Andariel, kunnen we de attributietijd aanzienlijk verkorten en aanvallen in een vroeg stadium detecteren," zegt Jornt van der Wiel, senior security researcher, GReAT bij Kaspersky.

Ga voor meer details over de Andariel-campagne, inclusief technische analyse en uitgebreide bevindingen, naar Securelist.com

###

Over Kaspersky
Kaspersky, opgericht in 1997, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten om geavanceerde digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers en 240.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op www.kaspersky.nl.

Verstreken tijd: 3 jaar en 8 dagen
PR contact  

Logo Progress Communications
Kaspersky contact  


Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo NetRom Software
Logo RAVI RYAN MOHANLAL
Logo BTG
Logo NHA Opleidingen
Logo Polly.Help
Logo MI Consultancy
Logo Incentro
Logo Stromma Nederland
Logo Fairbanks
Logo Valid
Logo Westpoort
Logo Brownies.nl
Logo Nextview
Logo Examencentrum
Logo Keuze.nl BV
Logo We talk SEO B.V.
Logo Victoria ID
Logo DNA Services B.V.
Logo Twenty Four Webvertising
Logo Web Wings
Logo Web Wings
Logo BusinessCom
Logo Msafe
Logo SCOS ViaCloud BV
Logo Keuze.nl BV
Logo Spryng
Logo BusinessCom
Logo Web Wings
Logo Web Wings
Logo Web Wings
Logo Tineco
Logo DXC Technology
Logo EPAM Systems
Logo osapiens
Logo Youforce
Logo Veeam Software
Logo Wuunder
Logo SureSync
Logo Proofpoint
Logo Techleap.nl
Logo NetApp
Logo Keepit
Logo Workday
Logo We talk SEO B.V.
Logo Buckaroo B.V.
TARIEVEN
Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
103884 persberichten
7046 bedrijfsprofielen
60 PR-bureauprofielen
17564 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
ProgressCommunications.euwww.marcommit.nlwww.whizpr.nl
www.deepr.nlINFLUX PRwww.deepr.nl