Pesquisadores Alertam sobre Armas Cibernéticas Usadas pelo Lazarus Group e Andariel
5 de Setembro de 2023

O ator de ameaças da Coreia do Norte, conhecido como Andariel, tem sido observado empregando um arsenal de ferramentas maliciosas em seus ataques cibernéticos contra corporações e organizações na contraparte do sul.

"Uma característica dos ataques identificados em 2023 é que existem várias cepas de malware desenvolvidas na linguagem Go", disse o AhnLab Security Emergency Response Center (ASEC) em um mergulho profundo divulgado na semana passada.

Andariel, também conhecido pelos nomes Nicket Hyatt ou Silent Chollima, é um sub-cluster do Lazarus Group que se sabe estar ativo desde pelo menos 2008.

Instituições financeiras, contratados de defesa, agências governamentais, universidades, fornecedores de cibersegurança e empresas de energia estão entre os principais alvos para o grupo patrocinado pelo estado para financiar atividades de espionagem e gerar ilegalmente receita para o país.

As cadeias de ataque montadas pelo adversário aproveitaram uma variedade de vetores de infecção inicial, como spear-phishing, watering holes e ataques à cadeia de suprimentos, como um ponto de apoio para lançar diferentes payloads.

Algumas das famílias de malware empregadas por Andariel em seus ataques incluem Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, Phandoor, Andarat, Andaratm, TigerRAT (e seu sucessor MagicRAT) e EarlyRAT.

Outro derivado de TigerRAT é QuiteRAT, que foi recentemente documentado pela Cisco Talos como usado pelo Lazarus Group em intrusões que exploram falhas de segurança no Zoho ManageEngine ServiceDesk Plus.

Um dos ataques detectados pela ASEC em fevereiro de 2023 teria envolvido a exploração de falhas de segurança numa solução de transferência de arquivos corporativos chamada Innorix Agent para distribuir backdoors como Volgmer e Andardoor, bem como shell reverso baseado em Golang conhecido como 1th Troy.

"Sendo um shell reverso que apenas fornece comandos básicos, os comandos suportados incluem 'cmd', 'exit' e 'autoexclusão'", disse a empresa de cibersegurança.

"Eles suportam a execução de comandos, a terminação do processo e as funcionalidades de autoexclusão, respectivamente."

Segue uma breve descrição de outros novos softwares maliciosos utilizados por Andariel:

- Black RAT (escrito em Go), que estende os recursos do 1th Troy para oferecer suporte a downloads de arquivos e capturas de tela
- Goat RAT (escrito em Go), que oferece suporte a tarefas básicas de arquivos e funcionalidades de autoexclusão
- AndarLoader (escrito em .NET), uma versão simplificada de Andardoor que atua como um downloader para buscar e executar dados executáveis, como assemblies .NET de fontes externas, e
- DurianBeacon (escrito em Go e Rust), que pode baixar/upload de arquivos e executar comandos enviados de um servidor remoto

As evidências recolhidas até agora mostram que o Goat RAT é entregue após a exploração bem-sucedida do Innorix Agent, enquanto o AndarLoader é instalado através do DurianBeacon.

"O grupo Andariel é um dos grupos de ameaças altamente ativos que atacam a Coreia juntamente com Kimsuky e Lazarus", disse ASEC.

"O grupo lançou ataques para obter informações relacionadas à segurança nacional nos primeiros dias, mas agora realiza ataques para benefícios financeiros."

O desenvolvimento vem à medida que atores norte-coreanos foram implicados em um novo conjunto de campanhas que buscam infiltrar-se em repositórios de código aberto como npm e PyPI com pacotes malevolentes e envenenar a cadeia de suprimentos de software.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...