El actor de amenazas norcoreano conocido como andariel Se ha observado que emplea un arsenal de herramientas maliciosas en sus ataques cibernéticos contra corporaciones y organizaciones en la contraparte del sur.
«Una característica de los ataques identificados en 2023 es que existen numerosas cepas de malware desarrolladas en el lenguaje Go», afirma el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) dicho en un análisis profundo publicado la semana pasada.
Andariel, también conocido con los nombres de Nicket Hyatt o Silent Chollima, es un subgrupo del Grupo Lazarus que se sabe que está activo desde al menos 2008.
Instituciones financieras, contratistas de defensa, agencias gubernamentales, universidades, proveedores de ciberseguridad y empresas de energía se encuentran entre los principales objetivos del grupo patrocinado por el estado para financiar actividades de espionaje y generar ingresos ilegales para el país.
Las cadenas de ataques montadas por el adversario han aprovechado una variedad de vectores de infección iniciales, como el phishing, los abrevaderos y los ataques a la cadena de suministro, como cabeza de playa para lanzar diferentes cargas útiles.
Algunas de las familias de malware empleadas por Andariel en sus ataques incluyen Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, Phandoor, Andarat, Andaratm, TigerRAT (y su sucesor MagicRAT) y EarlyRAT.
Otro derivado de TigerRAT es QuiteRAT, que Cisco Talos documentó recientemente como utilizado por Lazarus Group en intrusiones que explotan fallas de seguridad en Zoho ManageEngine ServiceDesk Plus.
uno de los ataques detectado Se dice que por ASEC en febrero de 2023 implicó la explotación de fallas de seguridad en una solución de transferencia de archivos empresarial llamada Innorix Agent para distribuir puertas traseras como Volgmer y Andardoor, así como un caparazón inverso basado en Golang conocido como 1th Troy.
«Al ser un shell inverso que sólo proporciona comandos básicos, los comandos admitidos incluyen ‘cmd’, ‘exit’ y ‘self delete'», dijo la empresa de ciberseguridad. «Admiten las funciones de ejecución de comandos, terminación de procesos y autoeliminación, respectivamente».
A continuación se incluye una breve descripción de algunos de los otros nuevos programas maliciosos utilizados por Andariel:
- RATA negra (escrito en Go), que amplía las funciones de 1th Troy para admitir descargas de archivos y capturas de pantalla
- RATA Cabra (escrito en Go), que admite tareas básicas de archivos y funciones de autoeliminación
- andarcargador (escrito en .NET), una versión simplificada de Andardoor que actúa como un descargador para buscar y ejecutar datos ejecutables como ensamblados .NET de fuentes externas, y
- DurianBeacon (escrito en Go y Rust), que puede descargar/cargar archivos y ejecutar comandos enviados desde un servidor remoto
La evidencia recopilada hasta ahora muestra que Goat RAT se entrega luego de la explotación exitosa de Innorix Agent, mientras que AndarLoader se instala a través de DurianBeacon.
Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa
Descubra cómo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda cómo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso después de una vulneración.
«El grupo Andariel es uno de los grupos de amenaza más activos que apuntan a Corea junto con Kimsuky y Lazarus», dijo ASEC. «El grupo lanzó ataques para obtener información relacionada con la seguridad nacional en los primeros días, pero ahora los lleva a cabo para obtener ganancias financieras».
El desarrollo se produce cuando los actores norcoreanos han estado implicados en un nuevo conjunto de campañas que buscan infiltrarse en repositorios de código abierto como npm y PyPI con paquetes malévolos y envenenar la cadena de suministro de software.