Grupa Andariel APT pokrenula je ciljanu kampanju napada na domaće kompanije i institucije Južne Koreje, gdje su pogođeni sektori proizvodnje, građevinarstva i obrazovanja.
Napadači su primijenili backdoor kao što su Nestdoor, keyloggeri , infostealeri i proxy alati kako bi narušili sisteme, ukrali podatke i potencijalno kontrolirali zaražene mašine, a kampanja je ponovo koristila zlonamjerni kod uočen u prethodnim Andariel napadima, uključujući Nestdoor backdoor i web shells.
Zanimljivo je da je korišten proxy alat koji je ranije bio povezan sa aktivnostima Lazarus grupe, što upućuje na potencijalnu saradnju ili zajedničke resurse između dva hakera.
Napadači su koristili nedostatke na Apache Tomcat web serveru za širenje zlonamjernog koda, a napadači su instalirali backdoor i proxy alate koji su narušili ciljani server, koji je vjerovatno zastario od Tomcatovog izdanja 2013. godine.
Nedavno otkriveni RAT malver pod nazivom Nestdoor, povezan sa grupom Andariel, koristi se u napadima najmanje od maja 2022. godine, koji napadačima daje daljinsku kontrolu nad zaraženim sistemima, omogućavajući prenos datoteka, pristup shell-u i izvršavanje komandi.
.webp)
Nestdoor koristi keylogging, clipboard hvatanje i proxy funkcionalnosti, i dijeli C&C servere sa drugim RAT-om, TigerRAT-om, sugerišući njihovu koordiniranu upotrebu u napadima koji ciljaju i na domaće entitete i na one koji iskorištavaju ranjivost Log4Shell-a .
Napadači distribuišu zlonamjerni softver prerušen u legitiman softver, koji je sakriven unutar komprimirane datoteke pod nazivom “OpenVPN Installer.exe”, koristi DLL datoteku za pokretanje, a zatim izvršava kopiju Nestdoor zlonamjernog softvera pod nazivom “openvpnsvc.exe.”.
.webp)
Prema AhnLab Security Intelligence Centru , zlonamjerni softver uspostavlja postojanost registracijom u planeru zadataka i komunikacijom sa serverom za komandu i kontrolu.
Iako je ovo ponavljanje Nestdoor-a pokazalo neke varijacije u C&C komunikacionim komandama i podržanim funkcijama u poređenju sa prethodnim verzijama, ona zadržava osnovne funkcionalnosti manipulacije datotekama i preokreće shell, omogućavajući napadaču kontrolu nad narušenim sistemom.
.webp)
Pored RAT malvera, napadači su primijenili još jedan zlonamjerni softver za keylogging i clipboard logovanje kreiranjem datoteke u privremenom direktorijumu žrtve za pohranjivanje svih ukradenih pritisaka na tastere i informacija clipboard-a.
.webp)
Još jedan identifikovan zlonamjerni softver je krađa datoteka, koja omogućava napadačima da ukradu datoteke sa zaraženog sistema.
Najvjerovatnije cilja na veliku količinu datoteka, jer je instaliran odvojeno od RAT malvera , a kradljivac nudi opcije za konfiguraciju komunikacionog protokola, adrese servera, putanje datoteke i ograničenja performansi.
Napadi Lazarus grupe u velikoj mjeri koriste proxy alate, uključujući one prilagođene i Socks5 alate otvorenog koda.
Napadači su primijenili zlonamjerni proxy sličan Kasperskyjevom ThreadNeedle-u (objavljenom 2021.) u smislu veličine, funkcionalnosti, pa čak i nizova za autentifikaciju.
Najmanje od 2014. godine, napadi Lazarus Grupe koriste ovu konkretnu vrstu proksija, koja se razlikuje po karakterističnom nizu za autentifikaciju, što ukazuje na dugoročnu upotrebu ovog alata ili tehnike.
Izvor: CyberSecurityNews