O ator de ameaças vinculado à Coreia do Norte, conhecido como Andariel, foi observado utilizando uma nova backdoor baseada em Golang chamada Dora RAT em seus ataques direcionados a instituições educacionais, empresas de manufatura e negócios da construção na Coreia do Sul.
"Ferramentas de Keylogger, Infostealer e proxy além da backdoor foram utilizadas nos ataques", disse o Centro de Inteligência de Segurança AhnLab (ASEC) em um relatório publicado na semana passada.
O ator de ameaça provavelmente usou essas variedades de malware para controlar e roubar dados dos sistemas infectados.
Os ataques são caracterizados pelo uso de um servidor Apache Tomcat vulnerável para distribuir o malware, adicionou a firm de cibersegurança sul-coreana, observando que o sistema em questão rodava a versão 2013 do Apache Tomcat, tornando-o suscetível a várias vulnerabilidades.
Andariel, também conhecido pelo nome Nicket Hyatt, Onyx Sleet e Silent Chollima, é um grupo de ameaça persistente avançada (APT) que opera em nome dos interesses estratégicos da Coreia do Norte desde pelo menos 2008.
Um subgrupo dentro do prolífico Grupo Lazarus, o adversário tem um histórico de uso de spear-phishing, ataques de watering hole e vulnerabilidades de segurança conhecidas em software para obter acesso inicial e distribuir malware para redes visadas.
ASEC não detalhou a cadeia de ataque usada para o deployment do malware, mas notou o uso de uma variante de um malware conhecido chamado Nestdoor, que vem com capacidades de receber e executar comandos de um servidor remoto, upload/download de arquivos, lançar um reverse shell, capturar dados da área de transferência e teclas digitadas, e atuar como um proxy.
Também utilizado nos ataques é um backdoor anteriormente não documentado chamado Dora RAT descrito como uma "simples variedade de malware" com suporte para reverse shell e capacidades de download/upload de arquivos.
"O atacante também assinou e distribuiu [o malware Dora RAT] usando um certificado válido", observou ASEC.
Algumas das variedades de Dora RAT usadas para o ataque foram confirmadas como assinadas com um certificado válido de um desenvolvedor de software do Reino Unido.
Algumas das outras variedades de malware entregues nos ataques englobam um keylogger que é instalado via uma variante lean de Nestdoor, bem como um infostealer dedicado e um proxy SOCKS5 que exibe sobreposições com uma ferramenta de proxy similar usada pelo Grupo Lazarus na campanha ThreatNeedle de 2021.
"O grupo Andariel é um dos grupos de ameaça altamente ativos na Coreia, juntamente com os grupos Kimsuky e Lazarus", disse ASEC.
O grupo inicialmente lançou ataques para adquirir informações relacionadas à segurança nacional, mas agora eles também têm atacado por ganho financeiro.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...