与朝鲜有关的威胁组织Andariel被发现使用一种名为 Dora RAT 的基于 Golang 的新型后门,针对韩国的教育机构、制造公司和建筑企业进行攻击。
塞讯安全实验室研究发现,攻击使用了后门上的键盘记录器、信息窃取程序和代理工具。攻击者可能使用这些恶意软件来控制和窃取受感染系统的数据。
这些攻击的特点是使用存在漏洞的 Apache Tomcat 服务器来传播恶意软件,并指出有问题的系统运行的是 2013 版 Apache Tomcat,因此容易受到多个漏洞的攻击。
Andariel,又名 Nickel Hyatt、Onyx Sleet 和 Silent Chollima,是一个高级持续性威胁 (APT) 组织,自 2008 年以来一直代表朝鲜的战略利益开展活动。
作为 Lazarus Group 的一个下属组织,该威胁组织曾利用鱼叉式网络钓鱼、水坑攻击和软件中已知的安全漏洞来获取初始访问权限并向目标网络分发恶意软件。
根据对近期的攻击中用于恶意软件部署的攻击链的追踪与研究,发现其还使用了一种名为 Nestdoor 的已知恶意软件的变种,该恶意软件具有从远程服务器接收和执行命令、上传/下载文件、启动反向 shell、捕获剪贴板数据和击键以及充当代理的功能。
攻击中使用的之前未曾使用的后门程序 Dora RAT是一种“简单的恶意软件”,支持反向 shell 和文件下载/上传功能。
我们发现,攻击者还使用有效证书签署并分发了 Dora RAT 恶意软件。用于攻击的一些 Dora RAT 样本已确认使用来自英国软件开发商的有效证书签署。”
攻击中传播的其他恶意软件包括通过精简版 Nestdoor 变种安装的键盘记录器、专用的信息窃取程序和 SOCKS5 代理,后者与 Lazarus Group 在2021 年 ThreatNeedle 活动中使用的类似代理工具有重叠。
Andariel 组织是与 Kimsuky 和 Lazarus 组织并列的活跃于韩国的威胁组织之一。该组织最初发动攻击是为了获取与国家安全相关的信息,但现在他们也开始以经济利益为目的发动攻击。因此各组织都不可掉以轻心。
与此同时,塞讯安全实验室还发现,至少自 2023 年 11 月以来,一种名为 SmallTiger 的恶意软件就针对韩国国防和半导体制造实体发起了攻击。其中一些入侵利用了 SmallTiger 来传递一种名为 DurianBeacon 的已知 Golang 后门,该后门之前被认为归属于 Andariel。
针对该威胁组织所采用的手段的攻击模拟规则已经加入到塞讯安全度量验证平台中,您可以在塞讯安全度量验证平台中搜索关键词“Andariel”、 “Kimsuky”、 “Lazarus”、 “Nestdoor”、 “Infostealer”、 “ThreatNeedle”、 “键盘记录”、 “DurianBeacon”、 “SOCKS5” 获取相关攻击模拟验证动作,从而验证您的安全防御体系是否能够有效应对该威胁组织的攻击,平台以业界独有方式确保您的验证过程安全无害。
用持续验证 建长久安全
塞讯验证是国内网络安全度量验证平台开创者,致力于利用第一手的受害者威胁情报赋能组织现有的安全防御体系,实现有效的网络安全布防。
核心团队均来自于全球知名网络安全公司和APT研究机构,拥有业界突出的安全研究与APT组织追踪能力。两大研发团队分别位于上海和杭州,致力于为客户打造最优秀的安全验证产品。我们在北京、上海、深圳、杭州均设有分支机构,服务可覆盖全国各个角落。
▶▶关注【塞讯安全验证】,了解塞讯安全度量验证平台以及更多安全资讯
▶▶关注【塞讯业务可观测】,了解最前沿的业务可观测性和IT运营相关技术、观点及趋势
原文始发于微信公众号(塞讯安全验证):Andariel 黑客利用新型 Dora RAT 恶意软件攻击韩国机构
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论