Sjevernokorejski haker poznat kao Andariel primijećen je kako koristi arsenal malicioznih alata u svojim sajber napadima na korporacije i organizacije u južnom partneru.
“Jedna karakteristika napada identifikovanih 2023. je da postoje brojni sojevi malicioznog softvera razvijeni u jeziku Go”, rekao je AhnLab centar za hitne intervencije (ASEC) u dubokom istraživanju objavljenom prošle sedmice.
Andariel, takođe poznat pod imenima Nicket Hyatt ili Silent Chollima, je podklaster Lazarus grupe za koju se zna da je aktivna najmanje od 2008.
Finansijske institucije, odbrambeni ugovarači, vladine agencije, univerziteti, dobavljači sajber-sigurnosti i energetske kompanije među glavnim su ciljevima grupe koju sponzoriše država za finansiranje špijunskih aktivnosti i nezakonito stvaranje prihoda za zemlju.
Lanci napada koje je postavio protivnik koristili su razne početne vektore infekcije, kao što su spear phishing, watering holes i napadi u lancu snabdijevanja, kao mostobran za lansiranje različitih payload-a.
Neke od porodica malicioznog softvera koje Andariel koristi u svojim napadima uključuju Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, Phandoor, Andarat, Andaratm, TigerRAT (i njegovog nasljednika MagicRAT) i EarlyRAT.
Još jedan derivat TigerRAT-a je QuiteRAT, koji je nedavno dokumentovao Cisco Talos kako ga Lazarus grupa koristi u upadima iskorištavajući bezbednosne propuste u Zoho ManageEngine ServiceDesk Plus.
Za jedan od napada koje je ASEC otkrio u februaru 2023. navodi se da je uključivao iskorištavanje sigurnosnih propusta u poslovnom rješenju za prijenos datoteka nazvanom Innorix Agent za distribuciju backdoor-a kao što su Volgmer i Andardoor, kao i reverzni shell baziran na Golangu poznat kao 1th. Troy.
„Budući da obrnuti shell pruža samo osnovne komande, podržane komande uključuju ‘cmd’, ‘exit’ i ‘self delete’, rekla je kompanija za kibernetičku sigurnost. “Oni podržavaju funkcije izvršavanja naredbi, završetka procesa i samobrisanja.”
Kratak opis nekog drugog novog malicioznog softvera koji je Andariel koristio je naveden ispod
- Black RAT (napisano u Go), koji proširuje karakteristike 1th Troy kako bi podržao preuzimanje datoteka i snimanje snimaka ekrana
- Goat RAT (napisano u Go), koji podržava osnovne zadatke datoteka i funkcije samobrisanja
- AndarLoader (napisan u .NET), skraćena verzija Andardoor-a koja djeluje kao preuzimač za dohvaćanje i izvršavanje izvršnih podataka kao što su .NET sklopovi iz vanjskih izvora, i
- DurianBeacon (napisan u Go i Rust), koji može preuzeti/učitati datoteke i pokrenuti komande poslane sa udaljenog servera
Do sada prikupljeni dokazi pokazuju da je Goat RAT isporučen nakon uspješne eksploatacije Inorix Agenta, dok je AndarLoader instaliran preko DurianBeacona.
“Grupa Andariel je jedna od vrlo aktivnih grupa hakera koje ciljaju na Koreju zajedno sa Kimsukyjem i Lazarusom”, rekao je ASEC. “Grupa je pokrenula napade kako bi dobila informacije vezane za nacionalnu sigurnost u prvim danima, ali sada izvodi napade radi finansijske dobiti.”
Razvoj dolazi nakon što su sjevernokorejski hakeri uključeni u novi skup kampanja koje nastoje infiltrirati riznice otvorenog koda kao što su npm i PyPI malicioznim paketima i zatrovati lanac nabavke softvera.
Izvor: The Hacker News
