Kuzey Kore bağlantılı tehdit aktörü Andariel Güney Kore’deki eğitim enstitülerini, imalat firmalarını ve inşaat işletmelerini hedef alan saldırılarda Dora RAT adı verilen Golang tabanlı yeni bir arka kapının kullanıldığı gözlemlendi.
AhnLab Güvenlik İstihbarat Merkezi (ASEC) geçen hafta yayınlanan bir raporda “Saldırılarda Keylogger, Infostealer ve arka kapının üstündeki proxy araçları kullanıldı” dedi. “Tehdit aktörü muhtemelen bu kötü amaçlı yazılım türlerini, virüslü sistemlerdeki verileri kontrol etmek ve çalmak için kullandı.”
Güney Koreli siber güvenlik firması, saldırıların, kötü amaçlı yazılımı dağıtmak için savunmasız bir Apache Tomcat sunucusunun kullanılmasıyla karakterize edildiğini belirterek, söz konusu sistemin Apache Tomcat’in 2013 sürümünü çalıştırdığını ve bu durumun onu çeşitli güvenlik açıklarına karşı duyarlı hale getirdiğini belirtti.
Nicket Hyatt, Onyx Sleet ve Silent Chollima isimleriyle de bilinen Andariel, en az 2008’den beri Kuzey Kore’nin stratejik çıkarları adına faaliyet gösteren gelişmiş bir kalıcı tehdit (APT) grubudur.
Üretken Lazarus Grubunun bir alt kümesi olan saldırganın, ilk erişimi elde etmek ve hedeflenen ağlara kötü amaçlı yazılım dağıtmak için hedef odaklı kimlik avı, sulama deliği saldırıları ve yazılımdaki bilinen güvenlik açıklarından yararlanma konusunda bir geçmişi var.
ASEC, kötü amaçlı yazılım dağıtımı için kullanılan saldırı zinciri hakkında ayrıntılı bilgi vermedi, ancak uzak bir sunucudan komut alma ve yürütme, dosya yükleme/indirme, ters işlemi başlatma yetenekleriyle birlikte gelen, Nestdoor adı verilen bilinen bir kötü amaçlı yazılımın bir çeşidinin kullanıldığına dikkat çekti. kabuk, pano verilerini ve tuş vuruşlarını yakalayın ve proxy görevi görün.
Saldırılarda ayrıca, ters kabuk ve dosya indirme/yükleme yeteneklerini destekleyen “basit bir kötü amaçlı yazılım türü” olarak tanımlanan, Dora RAT adı verilen, daha önce belgelenmemiş bir arka kapı da kullanıldı.
“Saldırgan aynı zamanda imzalayıp dağıttı [the Dora RAT] ASEC, “geçerli bir sertifika kullanan kötü amaçlı yazılım” dedi. “Saldırı için kullanılan bazı Dora RAT türlerinin, Birleşik Krallık’taki bir yazılım geliştiricisinden alınan geçerli bir sertifikayla imzalandığı doğrulandı.”
Saldırılarda ortaya çıkan diğer kötü amaçlı yazılım türlerinden bazıları, yalın bir Nestdoor varyantı aracılığıyla yüklenen bir keylogger’ın yanı sıra özel bir bilgi hırsızı ve Lazarus Grubu tarafından 2021 ThreatNeedle kampanyasında kullanılan benzer bir proxy aracıyla çakışmalar sergileyen bir SOCKS5 proxy’sini içeriyor.
ASEC, “Andariel grubu, Kimsuky ve Lazarus gruplarının yanı sıra Kore’de oldukça aktif olan tehdit gruplarından biridir.” dedi. “Grup başlangıçta ulusal güvenlikle ilgili bilgi edinmek için saldırılar düzenledi, ancak artık mali kazanç için de saldırıyor.”