大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近日,韩国网络安全公司AhnLab安全情报中心(ASEC)发布了一份令人震惊的报告,揭示了一个名为Andariel的朝鲜黑客组织使用一种名为Dora RAT的全新后门程序,对韩国的教育机构、制造公司和建筑企业发动了多次攻击。这一消息引起了广泛关注,也为网络安全领域敲响了警钟。
Andariel:一个活跃的APT组织
Andariel,又名Nickel Hyatt、Onyx Sleet和Silent Chollima,是一个高级持续性威胁(APT)组织,隶属于臭名昭著的Lazarus Group。自2008年以来,Andariel一直代表朝鲜的战略利益在网络空间中开展活动。该组织以其复杂的攻击手法和广泛的攻击目标而闻名,此次使用Dora RAT对韩国企业的攻击再次表明其威胁之大。
Dora RAT:一种基于Golang的新型后门
据ASEC的报告,Andariel此次攻击中使用的Dora RAT是一种基于Golang的新型后门程序。这种恶意软件具有键盘记录、信息窃取和代理功能,可以远程控制受感染系统并窃取数据。Dora RAT被描述为一种“简单的恶意软件”,但它支持反向shell和文件下载/上传功能,威力不容小觑。
漏洞利用与攻击手法
这些攻击主要利用了存在漏洞的Apache Tomcat服务器来传播恶意软件。据悉,有问题的系统运行的是2013版Apache Tomcat,容易受到多个漏洞的攻击。攻击者通过这些漏洞获得初始访问权限,并使用多种恶意软件工具对目标系统进行全面控制。
ASEC报告中提到,Andariel还使用了一种名为Nestdoor的已知恶意软件的变种,该恶意软件具有从远程服务器接收和执行命令、上传/下载文件、启动反向shell、捕获剪贴板数据和击键以及充当代理的功能。此外,攻击者还使用了有效证书签署并分发了Dora RAT,这些证书来自英国的一家软件开发商。
经济利益成为新动机
令人关注的是,Andariel组织的攻击动机已经从单纯的获取与国家安全相关的信息,转变为以经济利益为目的。除了传统的情报收集活动外,他们也开始对经济目标进行攻击,这一变化表明网络犯罪的经济驱动因素正在增加。
其他恶意软件攻击
同时,ASEC还披露了另一种名为SmallTiger的恶意软件,它至少自2023年11月以来就针对韩国的国防和半导体制造实体发起了攻击。据发现,其中一些入侵利用SmallTiger来传递一种名为DurianBeacon的已知Golang后门,该后门之前被认为归因于Andariel。
结语
在当前复杂的网络安全环境中,各国企业和机构必须高度警惕并加强防护措施,以应对日益猖獗的网络攻击。Andariel组织的此次攻击再次提醒我们,网络安全威胁无处不在,只有不断提升自身的安全防护能力,才能在这场没有硝烟的战争中立于不败之地。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜APT Andariel使用新型后门Dora RAT攻击韩国企业
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论