Hackers ligados à Coreia do Norte conhecidos como Andariel foi observado usando um novo backdoor baseado em Golang chamado Dora RAT em seus ataques visando institutos educacionais, empresas de manufatura e empresas de construção na Coreia do Sul.
"Keylogger, Infostealer e ferramentas de proxy no topo do backdoor foram utilizados para os ataques", disse o AhnLab Security Intelligence Center (ASEC) em um relatório publicado recentemente. "Agentes por trás da ameaça provavelmente usaram versões de malware específicas para controlar e roubar dados dos sistemas infectados."
Os ataques são caracterizados pelo uso de um servidor Apache Tomcat vulnerável para distribuir o malware, acrescentou a empresa de segurança cibernética sul-coreana, observando que o sistema em questão executou a versão 2013 do Apache Tomcat, que tem várias vulnerabilidades conhecidas.
Andariel, também conhecido pelo nome de Nicket Hyatt, Onyx Sleet e Silent Chollima, é um grupo de Advanced Persistant Threat (APT) que opera em nome dos interesses estratégicos da Coreia do Norte desde 2008, sendo um sub-cluster do Lazarus Group, que tem histórico de alavancar spear-phishing, ataques de watering hole e explorar vulnerabilidades de segurança conhecidas em software para obter acesso e distribuir malwares.
A ASEC não detalhou a cadeia de ataque usada para a implantação de malware, mas observou o uso de uma variante de um malware conhecido chamado Nestdoor, que vem com recursos para receber e executar comandos de um servidor remoto, fazer upload/download de arquivos, lançar um shell reverso, capturar dados da área de transferência, agir como keylogger e proxy. Adicionalmente, é usado nos ataques um backdoor não documentado anteriormente, chamado Dora RAT, que foi descrito como uma "parte de malware simples".
O invasor também assinou e distribuiu o malware [Dora RAT] usando um certificado válido. Algumas das versões [Dora RAT] usadas para o ataque foram confirmadas como assinadas com um certificado válido de um desenvolvedor de software do Reino Unido.
O grupo Andariel é altamente ativo na Coreia, assim como outros grupos como Kimsuky e Lazarus. O grupo inicialmente realizou ataques para obter informações relacionadas à segurança nacional, mas recentemente tem atacado para obter ganhos financeiros.
Entre em contato conosco e saiba como proteger seu negócio de ameaças avançadas.
Comments