Waspada! Ada Keluarga Malware Baru EarlyRat Pakai Phishing

Peneliti Kaspersky menemukan keluarga malware baru, yaitu EarlyRat, yang digunakan bersama dengan malware DTrack dan ransomware Maui yang semuanya bagian dari malware Andariel, subkelompok Lazarus yang terkenal.

Dilansir dari keterangannya pada Rabu (5/7/2023), analisis baru tersebut telah memberikan efektivitas waktu yang diperlukan untuk atribusi dan secara proaktif dapat mendeteksi serangan di tahap awal. 

Andariel, malware yang masuk grup Lazarus dan telah beroperasi selama lebih dari satu dekade ini, merupakan salah satu ancaman persisten tingkat lanjut (APT), dan sudah berada di radar peneliti Kaspersky.

Baca Juga: Laporkan Kampanye APT Seluler Baru yang Targetkan Perangkat iOS, Kaspersky Rilis Detektor Malware

Peneliti Kaspersky menemukan kampanye Andariel dan menemukan keluarga malware yang sebelumnya tidak berdokumen dan menemukan taktik, teknik, hingga prosedur tambahannya (TTP). 

Andariel memulai infeksi dengan memanfaatkan eksploitasi Log4j, yang memungkinkan pengunduhan (download) malware tambahan dari infrastruktur perintah-dan-kontrol (C2). Meskipun bagian awal dari malware yang diunduh tidak ditangkap, diamati bahwa backdoor DTrack kemudian diunduh segera setelah eksploitasi Log4j.

Aspek investigasi yang menarik muncul ketika Kaspersky mampu mereplikasi proses eksekusi perintah. Hasilnya, jelas bahwa perintah dalam kampanye Andariel dijalankan operator manusia, mungkin dengan sedikit pengalaman, sebagaimana dibuktikan dengan banyaknya kekeliruan dan kesalahan ketik yang dibuat. Misalnya, operator salah menulis “Prorgam”, bukan “Program”.

Di antara temuan tersebut, peneliti Kaspersky menemukan versi EarlyRat di salah satu kasus Log4j. Dalam beberapa kasus, EarlyRat diunduh melalui kerentanan Log4j, sementara di kasus lain ditemukan bahwa dokumen phishing akhirnya menyebarkan EarlyRat.

EarlyRat, seperti banyak Trojan Akses Jarak Jauh (Remote Access Trojans/RAT) lainnya, mengumpulkan informasi sistem saat aktivasi dan mengirimkannya ke server C2 menggunakan template tertentu. Data yang dikirimkan mencakup pengidentifikasi mesin unik (ID) dan kueri, yang dienkripsi menggunakan kunci kriptografik yang ditentukan di ruang ID.