Известно, что группа угроз Andariel, которая обычно атакует корейские корпорации и организации, связана с группой угроз Lazarus или одной из ее дочерних компаний. Атаки на корейские объекты выявляются с 2008 года. Основными объектами атак являются отрасли, связанные с национальной безопасностью, такие как национальная оборона, политические организации, судостроение, энергетика и связь. Объектами атак становятся также различные другие компании и институты Кореи, включая университеты, логистические и ИКТ-компании.
На этапе первоначальной компрометации угрожающая группа Andariel обычно использует фишинговые атаки (spear phishing), атаки через "водопой" (watering hole) и атаки на цепочки поставок. Кроме того, известны случаи, когда группа злоупотребляет решениями централизованного управления в процессе установки вредоносного ПО. [2] Примечательным фактом является создание и использование в атаках различных типов вредоносных программ. Среди них много типов бэкдоров, в том числе Andarat, Andaratm, Phandoor, Rifdoor, использовавшиеся в прошлых атаках, а также TigerRAT и MagicRAT, которые были обнаружены в течение последних нескольких лет.
Одной из особенностей атак, выявленных в 2023 году, является наличие множества штаммов вредоносного ПО, разработанных на языке Go. В случае атаки с использованием Innorix Agent использовался Reverse Shell, разработанный на языке Go. Впоследствии Black RAT использовался в атаках, направленных на корейские компании. Подобные тенденции сохранились и в последних случаях, когда в атаках используются другие штаммы вредоносных программ, разработанные на языке Go, такие как Goat RAT и DurianBeacon. Помимо версии на языке Go, DurianBeacon имеет также версию, разработанную на языке Rust.
Первоначальный вариант распространения выявить не удалось.
Indicators of Compromise
IPv4 Port Combinations
- 109.248.150.179:443
- 13.76.133.68:10443
- 13.76.133.68:8080
- 139.177.190.243:443
- 217.195.153.233:443
- 27.102.107.224:5443
- 27.102.107.224:8443
- 27.102.107.234:8443
- 27.102.113.88:21
- 27.102.113.88:5443
- 27.102.129.196:8088
- 4.246.144.112:443
- 4.246.149.227:8080
- 46.183.223.21:8080
- 8.213.128.76:1012
Domain Port Combinations
- bbs.topigsnorsvin.com.ec:8080
- chinesekungfu.org:443
- privatemake.bounceme.net:443
URls
- http://139.177.190.243/update.exe
- http://27.102.107.224/update.exe
- http://27.102.107.230/mstcs.exe
- http://27.102.107.230/update.exe
- http://27.102.107.233/client.exe
- http://27.102.107.233/update.exe
- http://27.102.107.234/update.exe
- http://27.102.107.235/mstcs.exe
- http://27.102.113.88/client.exe
- http://27.102.113.88/update.exe
- http://4.246.144.112/update.exe
- http://www.ipservice.kro.kr/creditsvc.exe
- http://www.ipservice.kro.kr/dataSeq.exe
MD5
- 0211a3160cc5871cbcd4e5514449162b
- 0a09b7f2317b3d5f057180be6b6d0755
- 1ffccc23fef2964e9b1747098c19d956
- 426bb55531e8e3055c942a1a035e46b9
- 5291aed100cc48415636c4875592f70c
- 5a3f3f75048b9cec177838fb8b40b945
- 6ab4eb4c23c9e419fbba85884ea141f4
- 6de6c27ca8f4e00f0b3e8ff5185a59d1
- 79e474e056b4798e0a3e7c60dd67fd28
- 8434cdd34425916be234b19f933ad7ea
- 88a7c84ac7f7ed310b5ee791ec8bd6c5
- 9112efb49cae021abebd3e9a564e6ca4
- 95c276215dcc1bd7606c0cb2be06bf70
- 9d7bd0caed10cc002670faff7ca130f5
- ac0ada011f1544aa3a1cf27a26f2e288
- bbaee4fe73ccff1097d635422fdc0483
- bcac28919fa33704a01d7a9e5e3ddf3f
- bda0686d02a8b7685adf937cbcd35f46
- c61a8c4f6f6870c7ca0013e084b893d2
- c892c60817e6399f939987bd2bf5dee0
- cfae52529468034dbbb40c9a985fa504
- deae4be61c90ad6d499f5bdac5dad242
- e5410abaaac69c88db84ab3d0e9485ac
- eb35b75369805e7a6371577b1d2c4531
- f4795f7aec4389c8323f7f40b50ae46f