研究人员发现,朝鲜高级持续威胁行动者Andariel APT集团针对韩国企业和其他组织发起了新的攻击。受害者包括教育机构以及制造业和建筑业的公司。
AhnLab安全情报中心(ASEC)的研究人员表示,攻击者利用键盘记录器、信息窃取器和代理工具以及后门来控制和提取受损系统的数据。
这些攻击中使用的恶意软件包括之前被认为是Andariel APT组织的病毒,包括后门软件“Nestdoor”。其他工具包括与朝鲜拉撒路组织相关的web shell和代理工具,与早期版本相比,这些工具现在包含了修改。
研究人员首先观察到一个已确认的攻击案例,恶意软件通过运行过时的2013版Apache Tomcat的web服务器传播,该服务器容易受到各种攻击。研究人员表示:“攻击者利用网络服务器安装后门程序、代理工具等。”
Andariel APT在本次活动中使用的恶意软件
在最新的攻击活动中使用的两种恶意软件中的第一个是Nestdoor,这是一种远程访问木马(RAT),自2022年5月以来一直活跃。此RAT可以执行来自威胁参与者的命令来控制受感染的系统。
在许多Andariel攻击中都发现了Nestdoor,包括利用VMware Horizon产品的Log4Shell漏洞(CVE-2021-44228)的攻击。该恶意软件是用C语言开发的,具有文件上传/下载、反向shell、命令执行、键盘记录、剪贴板记录和代理功能等功能。
在2022年的一个具体案例中,Nestdoor与TigerRAT一起使用相同的命令和控制(C&C)服务器进行分发。另一起事件发生在2024年初,Nestdoor伪装成OpenVPN安装程序。该版本通过Task Scheduler维护持久性,并与C&C服务器通信。
Andariel APT一直在为每次攻击活动开发新的Go语言恶意软件。最近发现的Dora RAT就是这样一种恶意软件。
该后门恶意软件支持反向shell和文件传输操作,并以两种形式存在:独立的可执行文件和“explorer.exe”中的注入进程。后一种变体使用WinRAR SFX格式的可执行文件,其中包含一个注入器恶意软件。Dora RAT已由英国软件开发商的有效证书签名,以使其看起来合法。
其他恶意软件类型
-
Keylogger/Cliplogger:执行基本功能,如记录击键和剪贴板内容,存储在“%TEMP%”目录中。
-
Stealer:旨在从系统中窃取文件,可能处理大量数据。
-
代理:包括自定义创建的代理工具和开源Socks5代理工具。一些代理类似于拉撒路组织在过去的攻击中使用的代理。
Andariel组织是更大的拉撒路集团的一部分,它已经从针对国家安全信息转向追求经济利益。上个月,韩国国家警察厅(South Korean National Police Agency)披露了一次针对Andariel APT的针对性攻击,目的是窃取韩国的国防技术。
Andariel APT黑客通过入侵一个雇员账户获取了国防工业数据,该账户用于维护一家国防工业合作伙伴的服务器。黑客在2022年10月左右向合作伙伴的服务器注入了恶意代码,并提取了存储的防御技术数据。这一漏洞利用了员工使用个人和专业电子邮件帐户访问官方系统的漏洞。
Andariel APT最初的攻击方法主要包括鱼叉式网络钓鱼、水坑攻击和利用软件漏洞。用户应该对来历不明的电子邮件附件和网站上的可执行文件保持警惕。研究人员建议,安全管理员应及时更新软件补丁,包括操作系统和浏览器,以降低恶意软件感染的风险。
原文始发于微信公众号(HackSee):Andariel APT利用DoraRAT和Nestdoor恶意软件监视韩国企业
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论