Recentemente, os ataques APT foram confirmados pelo grupo de hackers Andariel visando instituições locais de manufatura, construção e educação.

“Os invasores usam backdoors, keyloggers, roubo de informações, ferramentas de proxy, etc. para assumir o controle de sistemas infectados e roubar dados.”

Recentemente, um caso de ataque de Ameaça Persistente Avançada (APT) foi confirmado pelo grupo de hackers norte-coreano Andariel, que tinha como alvo empresas e organizações locais.

Os alvos deste ataque foram empresas de manufatura locais, empresas de construção e instituições educacionais, e acredita-se que os invasores usaram backdoors, keyloggers, roubo de informações e ferramentas de proxy para controlar sistemas infectados e roubar dados.

De acordo com o AhnLab Security Intelligence Center (ASEC), o grupo de ataque Andariel usou um novo malware junto com o malware usado em ataques anteriores. Como exemplo representativo, o web shell foi confirmado junto com o malware Nestdoor, e uma ferramenta de proxy usada pelo grupo Lazarus também foi descoberta como tendo sido usada em ataques anteriores.

Uma das principais circunstâncias detectadas neste ataque foi um caso de distribuição de código malicioso através do ataque a um servidor web rodando um servidor Apache Tomcat. Como o sistema em questão rodava o Apache Tomcat, criado em 2013, diversos ataques de vulnerabilidade poderiam ter ocorrido. O invasor atacou o servidor web e instalou backdoors e ferramentas de proxy.

O malware Nestdoor é um malware RAT (Trojan de acesso remoto) identificado desde aproximadamente maio de 2022. Este malware pode assumir o controle de um sistema infectado ao receber comandos do invasor e é frequentemente detectado em ataques lançados pelo grupo Andariel. O Nestdoor pode executar funções como upload/download de arquivos, shell reverso, execução de comandos e fornece keylogging, registro da área de transferência e funções de proxy. Neste ataque, em comparação com os tipos anteriores, o número do comando utilizado no processo de chamada C2 é alterado e menos funções são suportadas.

O grupo Andariel usou um novo malware backdoor chamado Dora RAT. Este malware é desenvolvido na linguagem Go e possui um formato simples que suporta shell reverso e funções de download/upload de arquivos. Foi confirmado que Dora RAT existe em duas formas: um arquivo executável independente e um formulário que é executado inserindo-o no processo do Explorer.

O invasor instalou um programa normal e um malware usando um arquivo executável no formato WinRAR SFX. O malware injetor funciona descriptografando o Dora RAT e inserindo-o no processo do explorador. Alguns RATs de Dora são assinados com certificados válidos, por isso é necessário cuidado extra.

O invasor instalou malware adicional de keylogger e cliplogger para compensar as limitações do Nestdoor, que não oferece suporte às funções de keylogger e registro da área de transferência. Este malware salvou as informações gravadas no caminho %TEMP%. Ferramentas de malware e proxy também têm sido usadas para roubar grandes quantidades de arquivos. Em particular, a ferramenta de proxy usada em ataques anteriores foi reutilizada usando o ThreadNeedle do cluster Lazarus.

“O Grupo Andariel é um dos grupos de ameaça que visam ativamente a Coreia, juntamente com Suki Kim e o Grupo Lazarus”, disse a ASEC. “Eles inicialmente realizaram ataques para obter informações relacionadas à segurança, mas recentemente lançaram ataques para obter ganhos financeiros”. ele disse. Os usuários que usam anexos de e-mail de fontes desconhecidas ou arquivos executáveis ​​baixados de páginas da Web devem ser treinados, e a equipe de segurança corporativa deve atualizar para a versão mais recente do software. “É importante prevenir antecipadamente a infecção por malware através dos patches mais recentes e atualizações V3 para o sistema operacional e navegador de internet”, frisou.

★Dailysecu, principal mídia de segurança da Coreia!★

Copyright © Daily Sico A reprodução e redistribuição são proibidas.