«Касперский зертханасының» сарапшылары Andariel кибертобының жаңа күрделі құралын анықтады

Зерттеу барысында EarlyRat қашықтан қолжеткізілім троянының құрылғыға Log4j эксплойты арқылы немесе фишингтік құжаттардағы сілтемелер арқылы табылған осалдық арқылы кіре алатыны анықталды. Andariel кибертобы оны DTrack тыңшылық бағдарламасымен және Maui бопсалаушы бағдарламасымен қатар пайдаланады.

Сарапшылар пәрмендердің орындалу процесін қайта құра алды. Оларды тәжірибесіз адам-оператор жүзеге асырғаны белгілі болды. Мұны көптеген қателер мен осалдықтар дәлелдейді, мысалы, «Program» деген сөздің орнына «Prorgam» деп жазылған.

EarlyRat зиян бағдарламасы көптеген басқа қашықтан қол жеткізу трояндары сияқты (Remote Access Trojan, RAT) іске қосылғаннан кейін жүйелік ақпаратты жинап, оны белгілі бір үлгі бойынша басқару-командалық серверге жібереді. Ол жіберетін деректерге вирус жұқтырған машиналардың бірегей идентификаторлары және сол идентификаторлар арқылы шифрланған сұраулар кіреді.

Функционалдылық тұсына келетін болсақ, EarlyRat трояны қарапайым және негізінен пәрмендерді орындаумен ғана шектеледі. Оның Magicrat-қа ұқсастығы бар — бұл Lazarus арсеналына кіретін зиян бағдарлама. Ұқсастықтардың қатарына фреймворктарды қолдану (Magicrat үшін QT және EarlyRat үшін PureBasic) және екі троянның шектеулі функционалдығы жатады.

«Біз құрамы өзгеретін көптеген кибертопты байқап отырмыз. Олар үшін әдеттегі тәжірибе — басқа кибертоптардың, соның ішінде әртүрлі зиян бағдарламалар арасында ауысу арқылы тәуелсіз құрылымдар ретінде қабылдануы мүмкін жалған ұйымдардың кодын бейімдеу. Күрделі операциялардан басқа, Lazarus-тағы Andariel сияқты кіші топтар киберқылмысқа тән әрекеттерді жасайды, мысалы, төлем бағдарламаларын енгізуді айтсақ болады. Andariel сияқты тактиканы, техниканы және процедураларды білу атрибуция уақытын едәуір қысқартуға және шабуылдарды ерте анықтауға мүмкіндік береді», — деп түсіндіреді «Касперский зертханасы» жаһандық қауіп-қатерді зерттеу және талдау орталығының жетекшісі Игорь Кузнецов.