De met Noord-Korea verbonden dreigingsacteur, bekend als Andariël Er is waargenomen dat er gebruik werd gemaakt van een nieuwe op Golang gebaseerde achterdeur genaamd Dora RAT bij zijn aanvallen op onderwijsinstellingen, productiebedrijven en bouwbedrijven in Zuid-Korea.
“Keylogger, Infostealer en proxy-tools bovenop de achterdeur werden gebruikt voor de aanvallen”, zei het AhnLab Security Intelligence Center (ASEC) in een vorige week gepubliceerd rapport. “De bedreigingsacteur heeft deze malwaresoorten waarschijnlijk gebruikt om gegevens van de geïnfecteerde systemen te controleren en te stelen.”
De aanvallen worden gekenmerkt door het gebruik van een kwetsbare Apache Tomcat-server om de malware te verspreiden, voegde het Zuid-Koreaanse cyberbeveiligingsbedrijf eraan toe. Het systeem in kwestie draaide op de 2013-versie van Apache Tomcat, waardoor het vatbaar is voor verschillende kwetsbaarheden.
Andariel, ook bekend onder de namen Nicket Hyatt, Onyx Sleet en Silent Chollima, is een geavanceerde persistente dreigingsgroep (APT) die sinds minstens 2008 opereert namens de strategische belangen van Noord-Korea.
De tegenstander is een subcluster binnen de productieve Lazarus Group en heeft een staat van dienst in het gebruik van spearphishing, watering hole-aanvallen en bekende beveiligingsproblemen in software om initiële toegang te verkrijgen en malware te verspreiden naar gerichte netwerken.
ASEC ging niet dieper in op de aanvalsketen die wordt gebruikt voor de implementatie van malware, maar merkte wel het gebruik op van een variant van een bekende malware genaamd Nestdoor, die wordt geleverd met mogelijkheden om opdrachten van een externe server te ontvangen en uit te voeren, bestanden te uploaden/downloaden, een omgekeerde shell, legt klembordgegevens en toetsaanslagen vast en fungeert als proxy.
Bij de aanvallen wordt ook een voorheen ongedocumenteerde achterdeur gebruikt, Dora RAT genaamd, die wordt beschreven als een “eenvoudige malwaresoort” met ondersteuning voor reverse shell en mogelijkheden voor het downloaden/uploaden van bestanden.
“De aanvaller heeft ook (de Dora RAT) malware ondertekend en gedistribueerd met behulp van een geldig certificaat”, aldus ASEC. “Sommige van de Dora RAT-stammen die voor de aanval zijn gebruikt, zijn ondertekend met een geldig certificaat van een softwareontwikkelaar uit het Verenigd Koninkrijk.”
Enkele van de andere malwarevarianten die bij de aanvallen worden geleverd, omvatten een keylogger die is geïnstalleerd via een slanke Nestdoor-variant, evenals een speciale informatiedief en een SOCKS5-proxy die overlappingen vertoont met een soortgelijke proxy-tool die door de Lazarus Group werd gebruikt in de ThreatNeedle-campagne van 2021.
“De Andariel-groep is een van de bedreigingsgroepen die zeer actief zijn in Korea, naast de groepen Kimsuky en Lazarus”, aldus ASEC. “De groep lanceerde aanvankelijk aanvallen om informatie te verkrijgen met betrekking tot de nationale veiligheid, maar nu vallen ze ook aan voor financieel gewin.”
