Было замечено, что связанный с Северной Кореей злоумышленник, известный как Andariel, использует новый бэкдор на базе Golang под названием Dora RAT в своих атаках на учебные заведения, производственные фирмы и строительные предприятия в Южной Корее.
"Для атак использовались кейлоггеры, инфостилеры и прокси-инструменты поверх бэкдора", - сказал в отчете, опубликованном на прошлой неделе, Центр анализа безопасности AhnLab (ASEC). "Злоумышленник, вероятно, использовал эти штаммы вредоносных программ для контроля и кражи данных из зараженных систем".
Атаки характеризуются использованием уязвимого сервера Apache Tomcat для распространения вредоносного ПО, добавила южнокорейская фирма по кибербезопасности, отметив, что в рассматриваемой системе использовалась версия Apache Tomcat 2013 года, что делает ее уязвимой к нескольким уязвимостям.
Andariel, также известная под названиями Nicket Hyatt, Onyx Sleet и Silent Chollima, является группой advanced persistent threat (APT), которая действует от имени стратегических интересов Северной Кореи как минимум с 2008 года.
Являясь подразделением плодовитой группы Lazarus Group, злоумышленник имеет опыт использования фишинга-шпионажа, атак с использованием лазеек и известных уязвимостей в программном обеспечении для получения начального доступа и распространения вредоносного ПО в целевых сетях.
ASEC не уточнила цепочку атак, используемую для развертывания вредоносного ПО, но отметила использование варианта известной вредоносной программы под названием Nestdoor, которая обладает возможностями получать и выполнять команды с удаленного сервера, загружать файлы, запускать обратную оболочку, захватывать данные буфера обмена и нажатия клавиш, а также действовать как прокси.
В атаках также использовался ранее недокументированный бэкдор под названием Dora RAT, который был описан как "простая разновидность вредоносного ПО" с поддержкой обратной оболочки и возможностями загрузки файлов.
"Злоумышленник также подписал и распространил вредоносную программу [the Dora RAT], используя действительный сертификат", - отметили в ASEC. "Подтверждено, что некоторые штаммы Dora RAT, использованные для атаки, подписаны действительным сертификатом от разработчика программного обеспечения из Соединенного Королевства".
Некоторые из других разновидностей вредоносных программ, поставляемых в ходе атак, включают кейлоггер, установленный через версию lean Nestdoor, а также специальное средство для кражи информации и прокси-сервер SOCKS5, который частично совпадает с аналогичным прокси-инструментом, используемым Lazarus Group в кампании 2021 ThreatNeedle.
"Группа Andariel является одной из групп угроз, которые очень активны в Корее, наряду с группами Kimsuky и Lazarus", - заявили в ASEC. "Первоначально группа начала атаки с целью получения информации, имеющей отношение к национальной безопасности, но теперь они также атакуют с целью получения финансовой выгоды".
"Для атак использовались кейлоггеры, инфостилеры и прокси-инструменты поверх бэкдора", - сказал в отчете, опубликованном на прошлой неделе, Центр анализа безопасности AhnLab (ASEC). "Злоумышленник, вероятно, использовал эти штаммы вредоносных программ для контроля и кражи данных из зараженных систем".
Атаки характеризуются использованием уязвимого сервера Apache Tomcat для распространения вредоносного ПО, добавила южнокорейская фирма по кибербезопасности, отметив, что в рассматриваемой системе использовалась версия Apache Tomcat 2013 года, что делает ее уязвимой к нескольким уязвимостям.
Andariel, также известная под названиями Nicket Hyatt, Onyx Sleet и Silent Chollima, является группой advanced persistent threat (APT), которая действует от имени стратегических интересов Северной Кореи как минимум с 2008 года.
Являясь подразделением плодовитой группы Lazarus Group, злоумышленник имеет опыт использования фишинга-шпионажа, атак с использованием лазеек и известных уязвимостей в программном обеспечении для получения начального доступа и распространения вредоносного ПО в целевых сетях.
ASEC не уточнила цепочку атак, используемую для развертывания вредоносного ПО, но отметила использование варианта известной вредоносной программы под названием Nestdoor, которая обладает возможностями получать и выполнять команды с удаленного сервера, загружать файлы, запускать обратную оболочку, захватывать данные буфера обмена и нажатия клавиш, а также действовать как прокси.
В атаках также использовался ранее недокументированный бэкдор под названием Dora RAT, который был описан как "простая разновидность вредоносного ПО" с поддержкой обратной оболочки и возможностями загрузки файлов.
"Злоумышленник также подписал и распространил вредоносную программу [the Dora RAT], используя действительный сертификат", - отметили в ASEC. "Подтверждено, что некоторые штаммы Dora RAT, использованные для атаки, подписаны действительным сертификатом от разработчика программного обеспечения из Соединенного Королевства".
Некоторые из других разновидностей вредоносных программ, поставляемых в ходе атак, включают кейлоггер, установленный через версию lean Nestdoor, а также специальное средство для кражи информации и прокси-сервер SOCKS5, который частично совпадает с аналогичным прокси-инструментом, используемым Lazarus Group в кампании 2021 ThreatNeedle.
"Группа Andariel является одной из групп угроз, которые очень активны в Корее, наряду с группами Kimsuky и Lazarus", - заявили в ASEC. "Первоначально группа начала атаки с целью получения информации, имеющей отношение к национальной безопасности, но теперь они также атакуют с целью получения финансовой выгоды".
