L’acteur menaçant nord-coréen connu sous le nom de Andariel a été observé en train d’utiliser un arsenal d’outils malveillants dans ses cyberattaques contre des entreprises et des organisations de son homologue du Sud.
« Une caractéristique des attaques identifiées en 2023 est qu’il existe de nombreuses souches de logiciels malveillants développées dans le langage Go », indique l’AhnLab Security Emergency Response Center (ASEC). dit dans une étude approfondie publiée la semaine dernière.
Andariel, également connu sous les noms de Nicket Hyatt ou Silent Chollima, est un sous-cluster du groupe Lazarus connu pour être actif depuis au moins 2008.
Les institutions financières, les entreprises de défense, les agences gouvernementales, les universités, les fournisseurs de cybersécurité et les sociétés énergétiques comptent parmi les principales cibles du groupe parrainé par l’État pour financer des activités d’espionnage et générer illégalement des revenus pour le pays.
Les chaînes d’attaque montées par l’adversaire ont exploité divers vecteurs d’infection initiaux, tels que le spear phishing, les points d’eau et les attaques de la chaîne d’approvisionnement, comme tête de pont pour lancer différentes charges utiles.
Certaines des familles de logiciels malveillants utilisées par Andariel dans ses attaques incluent Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, Phandoor, Andarat, Andaratm, TigerRAT (et son successeur MagicRAT) et EarlyRAT.
Un autre dérivé de TigerRAT est QuiteRAT, qui a été récemment documenté par Cisco Talos comme étant utilisé par le groupe Lazarus dans des intrusions exploitant des failles de sécurité dans Zoho ManageEngine ServiceDesk Plus.
Une des attaques détecté par l’ASEC en février 2023 aurait impliqué l’exploitation de failles de sécurité dans une solution de transfert de fichiers d’entreprise appelée Innorix Agent pour distribuer des portes dérobées telles que Volgmer et Andardoor, ainsi qu’un obus inversé basé sur Golang connu sous le nom de 1th Troy.
« Il s’agit d’un shell inversé qui ne fournit que des commandes de base, les commandes prises en charge incluent ‘cmd’, ‘exit’ et ‘self delete' », a déclaré la société de cybersécurité. « Ils prennent en charge respectivement les fonctionnalités d’exécution de commandes, de terminaison de processus et d’auto-suppression. »
Une brève description de certains des autres nouveaux logiciels malveillants utilisés par Andariel est répertoriée ci-dessous :
- Rat noir (écrit en Go), qui étend les fonctionnalités de 1th Troy pour prendre en charge les téléchargements de fichiers et les captures d’écran
- Chèvre RAT (écrit en Go), qui prend en charge les tâches de base sur les fichiers et les fonctionnalités d’auto-suppression
- AndarLoader (écrit en .NET), une version allégée d’Andardoor qui agit comme un téléchargeur pour récupérer et exécuter des données exécutables telles que des assemblys .NET à partir de sources externes, et
- Durianbalise (écrit en Go et Rust), qui peut télécharger/uploader des fichiers et exécuter des commandes envoyées depuis un serveur distant
Les preuves recueillies jusqu’à présent montrent que Goat RAT est livré suite à l’exploitation réussie d’Innorix Agent, tandis qu’AndarLoader est installé via DurianBeacon.
Détecter, Répondre, Protéger : ITDR et SSPM pour une sécurité SaaS complète
Découvrez comment Identity Threat Detection & Response (ITDR) identifie et atténue les menaces à l’aide de SSPM. Découvrez comment sécuriser vos applications SaaS d’entreprise et protéger vos données, même après une violation.
« Le groupe Andariel est l’un des groupes menaçants les plus actifs ciblant la Corée, avec Kimsuky et Lazarus », a déclaré l’ASEC. « Au début, le groupe a lancé des attaques pour obtenir des informations liées à la sécurité nationale, mais il mène désormais des attaques pour obtenir des gains financiers. »
Cette évolution intervient alors que des acteurs nord-coréens ont été impliqués dans une nouvelle série de campagnes visant à infiltrer des référentiels open source tels que npm et PyPI avec des packages malveillants et à empoisonner la chaîne d’approvisionnement en logiciels.