O ator de ameaça ligado à Coreia do Norte conhecido como Andariel foi observado usando um novo backdoor baseado em Golang chamado Dora RAT em seus ataques contra institutos educacionais, empresas de manufatura e empresas de construção na Coreia do Sul.
“Keylogger, Infostealer e ferramentas de proxy no backdoor foram utilizadas para os ataques”, disse o AhnLab Safety Intelligence Heart (ASEC) em um relatório publicado na semana passada. “O ator da ameaça provavelmente usou essas variedades de malware para controlar e roubar dados dos sistemas infectados.”
Os ataques são caracterizados pelo uso de um servidor Apache Tomcat vulnerável para distribuir o malware, acrescentou a empresa sul-coreana de segurança cibernética, observando que o sistema em questão executava a versão 2013 do Apache Tomcat, tornando-o suscetível a diversas vulnerabilidades.
Andariel, também conhecido pelos nomes Nicket Hyatt, Onyx Sleet e Silent Chollima, é um grupo de ameaça persistente avançada (APT) que opera em nome dos interesses estratégicos da Coreia do Norte desde pelo menos 2008.
Um subgrupo dentro do prolífico Grupo Lazarus, o adversário tem um histórico de aproveitamento de spear-phishing, ataques watering gap e vulnerabilidades de segurança conhecidas em software program para obter acesso inicial e distribuir malware para redes direcionadas.
A ASEC não detalhou a cadeia de ataque usada para implantação de malware, mas observou o uso de uma variante de um malware conhecido chamado Nestdoor, que vem com recursos para receber e executar comandos de um servidor remoto, fazer add/obtain de arquivos, iniciar um ataque reverso. shell, captura dados da área de transferência e pressionamentos de teclas e atua como proxy.
Também é usado nos ataques um backdoor anteriormente não documentado chamado Dora RAT, que foi descrito como uma “simples cepa de malware” com suporte para shell reverso e recursos de obtain/add de arquivos.
“O invasor também assinou e distribuiu malware (Dora RAT) usando um certificado válido”, observou ASEC. “Algumas das cepas Dora RAT usadas para o ataque foram confirmadas como assinadas com um certificado válido de um desenvolvedor de software program do Reino Unido.”
Algumas das outras variedades de malware entregues nos ataques abrangem um keylogger instalado por meio de uma variante enxuta do Nestdoor, bem como um ladrão de informações dedicado e um proxy SOCKS5 que exibe sobreposições com uma ferramenta de proxy semelhante usada pelo Grupo Lazarus na campanha ThreatNeedle de 2021.
“O grupo Andariel é um dos grupos de ameaça altamente ativos na Coreia, ao lado dos grupos Kimsuky e Lazarus”, disse a ASEC. “O grupo inicialmente lançou ataques para adquirir informações relacionadas com a segurança nacional, mas agora também tem atacado para obter ganhos financeiros”.
