“Касперский зертханасының” сарапшыларыAndariel кибертобының жаңа күрделі құралынанықтады

Зерттеу барысында EarlyRat қашықтан қолжеткізілім троянының құрылғыға Log4j эксплойты арқылы немесефишингтік құжаттардағы сілтемелер арқылы табылғаносалдық арқылы кіре алатыны анықталды. Andarielкибертобы оны DTrack тыңшылық бағдарламасыменжәне Maui бопсалаушы бағдарламасымен қатар пайдаланады.

Сарапшылар пәрмендердің орындалу процесін қайтақұра алды. Оларды тәжірибесіз адам—оператор жүзегеасырғаны белгілі болды. Мұны көптеген қателер мен осалдықтар дәлелдейді, мысалы, «Program» дегенсөздің орнына «Prorgam» деп жазылған.

EarlyRat зиян бағдарламасы көптеген басқа қашықтанқол жеткізу трояндары сияқты (Remote Access Trojan, RAT) іске қосылғаннан кейін жүйелік ақпаратты жинап,оны белгілі бір үлгі бойынша басқару-командалықсерверге жібереді. Ол жіберетін деректерге вирус жұқтырған машиналардың бірегей идентификаторларыжәне сол идентификаторлар арқылы шифрланғансұраулар кіреді.

Функционалдылық тұсына келетін болсақ, EarlyRatтрояны қарапайым және негізінен пәрмендердіорындаумен ғана шектеледі. Оның Magicrat—қаұқсастығы бар — бұл Lazarus арсеналына кіретін зиянбағдарлама. Ұқсастықтардың қатарынафреймворктарды қолдану (Magicrat үшін QT жәнеEarlyRat үшін PureBasic) және екі троянның шектеуліфункционалдығы жатады.

«Біз құрамы өзгеретін көптеген кибертопты байқап отырмыз. Олар үшін әдеттегі тәжірибе — басқакибертоптардың, соның ішінде әртүрлі зиянбағдарламалар арасында ауысу арқылы тәуелсізқұрылымдар ретінде қабылдануы мүмкін жалғанұйымдардың кодын бейімдеу. Күрделі операцияларданбасқа, Lazarus-тағы Andariel сияқты кіші топтаркиберқылмысқа тән әрекеттерді жасайды, мысалы, төлем бағдарламаларын енгізуді айтсақ болады. Andariel сияқты тактиканы, техниканы жәнепроцедураларды білу атрибуция уақытын едәуірқысқартуға және шабуылдарды ерте анықтауғамүмкіндік береді», — деп түсіндіреді «Касперскийзертханасы» жаһандық қауіп-қатерді зерттеу жәнеталдау орталығының жетекшісі Игорь Кузнецов.