Waspada! Ada Keluarga Malware Baru EarlyRat Pakai Phishing

Peneliti Kaspersky menemukan keluarga malware baru, yaitu EarlyRat, yang digunakan bersama dengan malware DTrack dan ransomware Maui yang semuanya bagian dari malware Andariel, subkelompok Lazarus yang terkenal.

Dilansir dari keterangannya pada Rabu (5/7/2023), analisis baru tersebut telah memberikan efektivitas waktu yang diperlukan untuk atribusi dan secara proaktif dapat mendeteksi serangan di tahap awal. 

Andariel, malware yang masuk grup Lazarus dan telah beroperasi selama lebih dari satu dekade ini, merupakan salah satu ancaman persisten tingkat lanjut (APT), dan sudah berada di radar peneliti Kaspersky.

Baca Juga: Laporkan Kampanye APT Seluler Baru yang Targetkan Perangkat iOS, Kaspersky Rilis Detektor Malware

Peneliti Kaspersky menemukan kampanye Andariel dan menemukan keluarga malware yang sebelumnya tidak berdokumen dan menemukan taktik, teknik, hingga prosedur tambahannya (TTP). 

Andariel memulai infeksi dengan memanfaatkan eksploitasi Log4j, yang memungkinkan pengunduhan (download) malware tambahan dari infrastruktur perintah-dan-kontrol (C2). Meskipun bagian awal dari malware yang diunduh tidak ditangkap, diamati bahwa backdoor DTrack kemudian diunduh segera setelah eksploitasi Log4j.

Aspek investigasi yang menarik muncul ketika Kaspersky mampu mereplikasi proses eksekusi perintah. Hasilnya, jelas bahwa perintah dalam kampanye Andariel dijalankan operator manusia, mungkin dengan sedikit pengalaman, sebagaimana dibuktikan dengan banyaknya kekeliruan dan kesalahan ketik yang dibuat. Misalnya, operator salah menulis “Prorgam”, bukan “Program”.

Di antara temuan tersebut, peneliti Kaspersky menemukan versi EarlyRat di salah satu kasus Log4j. Dalam beberapa kasus, EarlyRat diunduh melalui kerentanan Log4j, sementara di kasus lain ditemukan bahwa dokumen phishing akhirnya menyebarkan EarlyRat.

EarlyRat, seperti banyak Trojan Akses Jarak Jauh (Remote Access Trojans/RAT) lainnya, mengumpulkan informasi sistem saat aktivasi dan mengirimkannya ke server C2 menggunakan template tertentu. Data yang dikirimkan mencakup pengidentifikasi mesin unik (ID) dan kueri, yang dienkripsi menggunakan kunci kriptografik yang ditentukan di ruang ID.

Dalam hal fungsionalitas, EarlyRat menunjukkan kesederhanaan, terutama terbatas pada menjalankan perintah. Menariknya, EarlyRat berbagi beberapa kesamaan tingkat tinggi dengan MagicRat–malware digunakan Lazarus sebelumnya–seperti penggunaan kerangka kerja (QT untuk MagicRat dan PureBasic untuk EarlyRat) dan fungsi terbatas dari kedua RAT.

Peneliti keamanan senior GreAT di Kaspersky, Jornt van der Wiel menjelaskan, dalam lanskap kejahatan dunia maya yang luas, pihaknya menjumpai banyak pemain dan grup yang beroperasi dengan komposisi berbeda-beda.

“Merupakan hal yang umum bagi grup untuk mengadopsi kode dari orang lain, dan bahkan afiliasi yang dapat dianggap sebagai entitas independen, berganti-ganti jenis malware yang berbeda.” 

Van der Wiel juga menambahkan, hal tersebut dapat “menambah kerumitan, subgrup dari grup APT, seperti Lazarus’ Andariel, terlibat dalam aktivitas kejahatan siber seperti menyebarkan ransomware.” 

“Dengan berfokus pada taktik, teknik, dan prosedur (TTP), seperti yang kami lakukan dengan Andariel, kami dapat secara signifikan mengurangi waktu atribusi dan mendeteksi serangan pada tahap awal,” sambungnya.