Pesquisadores Alertam sobre Armas Cibernéticas Usadas pelo Lazarus Group e Andariel
5 de Setembro de 2023

O ator de ameaças da Coreia do Norte, conhecido como Andariel, tem sido observado empregando um arsenal de ferramentas maliciosas em seus ataques cibernéticos contra corporações e organizações na contraparte do sul.

"Uma característica dos ataques identificados em 2023 é que existem várias cepas de malware desenvolvidas na linguagem Go", disse o AhnLab Security Emergency Response Center (ASEC) em um mergulho profundo divulgado na semana passada.

Andariel, também conhecido pelos nomes Nicket Hyatt ou Silent Chollima, é um sub-cluster do Lazarus Group que se sabe estar ativo desde pelo menos 2008.

Instituições financeiras, contratados de defesa, agências governamentais, universidades, fornecedores de cibersegurança e empresas de energia estão entre os principais alvos para o grupo patrocinado pelo estado para financiar atividades de espionagem e gerar ilegalmente receita para o país.

As cadeias de ataque montadas pelo adversário aproveitaram uma variedade de vetores de infecção inicial, como spear-phishing, watering holes e ataques à cadeia de suprimentos, como um ponto de apoio para lançar diferentes payloads.

Algumas das famílias de malware empregadas por Andariel em seus ataques incluem Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, Phandoor, Andarat, Andaratm, TigerRAT (e seu sucessor MagicRAT) e EarlyRAT.

Outro derivado de TigerRAT é QuiteRAT, que foi recentemente documentado pela Cisco Talos como usado pelo Lazarus Group em intrusões que exploram falhas de segurança no Zoho ManageEngine ServiceDesk Plus.

Um dos ataques detectados pela ASEC em fevereiro de 2023 teria envolvido a exploração de falhas de segurança numa solução de transferência de arquivos corporativos chamada Innorix Agent para distribuir backdoors como Volgmer e Andardoor, bem como shell reverso baseado em Golang conhecido como 1th Troy.

"Sendo um shell reverso que apenas fornece comandos básicos, os comandos suportados incluem 'cmd', 'exit' e 'autoexclusão'", disse a empresa de cibersegurança.

"Eles suportam a execução de comandos, a terminação do processo e as funcionalidades de autoexclusão, respectivamente."

Segue uma breve descrição de outros novos softwares maliciosos utilizados por Andariel:

- Black RAT (escrito em Go), que estende os recursos do 1th Troy para oferecer suporte a downloads de arquivos e capturas de tela
- Goat RAT (escrito em Go), que oferece suporte a tarefas básicas de arquivos e funcionalidades de autoexclusão
- AndarLoader (escrito em .NET), uma versão simplificada de Andardoor que atua como um downloader para buscar e executar dados executáveis, como assemblies .NET de fontes externas, e
- DurianBeacon (escrito em Go e Rust), que pode baixar/upload de arquivos e executar comandos enviados de um servidor remoto

As evidências recolhidas até agora mostram que o Goat RAT é entregue após a exploração bem-sucedida do Innorix Agent, enquanto o AndarLoader é instalado através do DurianBeacon.

"O grupo Andariel é um dos grupos de ameaças altamente ativos que atacam a Coreia juntamente com Kimsuky e Lazarus", disse ASEC.

"O grupo lançou ataques para obter informações relacionadas à segurança nacional nos primeiros dias, mas agora realiza ataques para benefícios financeiros."

O desenvolvimento vem à medida que atores norte-coreanos foram implicados em um novo conjunto de campanhas que buscam infiltrar-se em repositórios de código aberto como npm e PyPI com pacotes malevolentes e envenenar a cadeia de suprimentos de software.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...