研究人员发现了朝鲜高级持续性威胁组织 Andariel APT 发起的新攻击,该组织针对的是韩国企业和其他组织。受害者包括教育机构以及制造业和建筑业的公司。
AhnLab 安全情报中心 (ASEC) 的研究人员表示,攻击者使用键盘记录器、信息窃取程序和代理工具以及后门来控制和提取受感染系统的数据。
此次攻击中使用的恶意软件包括之前归因于 Andariel APT 组织的病毒,包括后门“Nestdoor”。其他工具包括与朝鲜 Lazarus 组织有关的 Web shell 和代理工具,与早期版本相比,现在包含了一些修改。
研究人员首先观察到一个已确认的攻击案例,其中恶意软件通过运行过时的 2013 版 Apache Tomcat 的 Web 服务器进行传播,该版本易受各种攻击。“威胁行为者使用该 Web 服务器安装后门、代理工具等,”研究人员说。
Apache Tomcat 被 Andariel APT 入侵并传播恶意软件。(来源:Ahnlab)
Andariel APT 在此次攻击活动中使用的恶意软件
最新活动中使用的两种恶意软件中的第一个是 Nestdoor,这是一种自 2022 年 5 月以来一直活跃的远程访问木马 (RAT)。该 RAT 可以执行威胁行为者的命令来控制受感染的系统。
Nestdoor 已在许多 Andariel 攻击中被发现,包括利用 VMware Horizon 产品的 Log4Shell 漏洞 (CVE-2021-44228) 的攻击。该恶意软件是用 C++ 开发的,具有文件上传/下载、反向 shell、命令执行、键盘记录、剪贴板记录和代理功能等功能。
2022 年的一个具体案例是 Nestdoor 与 TigerRAT 使用相同的命令和控制 (C&C) 服务器进行分发。2024 年初的另一起事件中,Nestdoor 伪装成 OpenVPN 安装程序。此版本通过任务计划程序保持持久性并与 C&C 服务器进行通信。
Andariel APT 一直在为每次活动开发新的 Go 语言恶意软件。最近发现的 Dora RAT 就是这样一种恶意软件。
该后门恶意软件支持反向 shell 和文件传输操作,以两种形式存在:独立可执行文件和“explorer.exe”内的注入进程。后者使用 WinRAR SFX 格式的可执行文件,其中包含注入恶意软件。Dora RAT 已使用英国软件开发商的有效证书进行签名,以使其看起来合法。
其他恶意软件
- 键盘记录器/剪贴记录器:执行记录击键和剪贴板内容等基本功能,存储在“%TEMP%”目录中。
- 窃取程序:它旨在从系统中窃取文件,可能处理大量数据。
- 代理:包括自定义代理工具和开源 Socks5 代理工具。有些代理与 Lazarus 组织在过去的攻击中使用的代理类似。
安达利尔 (Andariel) 组织隶属于 Lazarus 旗下,其目标已从国家安全信息转向追求经济利益。上个月,韩国国家警察厅披露了安达利尔 APT 的一项针对性活动,旨在窃取该国的国防技术。
Andariel APT 黑客通过入侵员工账户获取了国防工业数据,该账户用于维护国防工业合作伙伴的服务器。黑客在 2022 年 10 月左右将恶意代码注入合作伙伴的服务器,并提取存储的国防技术数据。此次入侵利用了员工使用个人和专业电子邮件账户进行官方系统访问的漏洞。
Andariel APT 的初始攻击方法主要包括鱼叉式网络钓鱼、水坑攻击和利用软件漏洞。用户应谨慎对待来自未知来源的电子邮件附件和来自网站的可执行文件。研究人员建议安全管理员对软件(包括操作系统和浏览器)进行修补和更新,以降低恶意软件感染的风险。
IoC 应留意 Andariel APT 攻击迹象
监控 Andariel APT 组织攻击的 IoC 包括:
MD5s
– 7416ea48102e2715c87edd49ddbd1526:Nestdoor – 近期攻击案例 (nest.exe)
– a2aefb7ab6c644aa8eeb482e27b2dbc4:Nestdoor – TigerRAT 攻击案例 (psfile.exe)
– e7fd7f48fbf5635a04e302af50dfb651:Nestdoor – OpenVPN 攻击案例 (openvpnsvc.exe)
– 33b2b5b7c830c34c688cf6ced287e5be:Nestdoor 启动器 (FirewallAPI.dll)
– 4bc571925a80d4ae4aab1e8900bf753c:Dora RAT 投放器 (spsvc.exe)
– 951e9fcd048b919516693b25c13a9ef2:Dora RAT 植入程序 (emaupdate.exe)
– fee610058c417b6c4b3054935b7e2730:Dora RAT 注入器 (version.dll)
– afc5a07d6e438880cea63920277ed270:Dora RAT 注入器 ( version.dll)
– d92a317ef4d60dc491082a2fe6eb7a70:Dora RAT (emaupdate.exe) – 5df3c3e1f423f1cce5bf75f067d1d05c
:Dora RAT (msload.exe)
– 094f9a757c6dbd6030bc6dae3f8feab3: Dora RAT(emagent.exe)
– 468c369893d6fc6614d24ea89e149e80:键盘记录器/剪辑记录器(conhosts.exe)
– 5e00df548f2dcf7a808f1337f443f3d9:窃取程序(msload.exe)
C&Cs
– 45.58.159[.]237:443: Nestdoor – 近期攻击案例
– 4.246.149[.]227:1443: Nestdoor – TigerRAT 攻击案例
– 209.127.19[.]223:443: Nestdoor – OpenVPN 攻击案例
– kmable.bestunif[.]com:443 – Dora RAT
– 206.72.205[.]117:443 – Dora RAT
发表评论
您还未登录,请先登录。
登录