Отслеживая недавние атаки угрожающей группы Andariel, Центр экстренного реагирования AhnLab Security (ASEC) обнаружил случай атаки, в котором группа, как предполагается, использует уязвимость Apache ActiveMQ для удаленного выполнения кода (CVE-2023-46604) с целью установки вредоносного ПО.
Andariel обычно атакует южнокорейские компании и учреждения, и известно, что она либо сотрудничает с группой Lazarus, либо является дочерней группой Lazarus. Впервые атаки на Южную Корею были выявлены в 2008 году, и их основными целями являются национальная оборона, политические организации, судостроение, энергетика и телекоммуникации. Кроме них, объектами атак стали такие южнокорейские компании и учреждения, как университеты, логистические и ИКТ-компании.
Группа Andariel в прошлом использовала фишинговые атаки (spear phishing), атаки на "водопой" (watering hole) и атаки на цепочки поставок . Недавно были выявлены случаи, когда группа использовала уязвимость Log4Shell, атаковала плохо управляемые серверы MS-SQL или злоупотребляла легитимным программным обеспечением.
На данный момент прямых логов нет, но предполагается, что группа Andariel использует уязвимость удаленного выполнения кода в серверах Apache ActiveMQ для установки бэкдоров NukeSped и TigerRat.
Indicators of Compromise
IPv4 Port Combinations
- 137.175.17.172:41334
- 137.175.17.221:48084
- 176.105.255.60:49407
- 27.102.114.215:8000
URLs
- http://137.175.17.172:1443/ac3.jar
- http://137.175.17.172:1443/agent
- http://137.175.17.172:1443/agent_w
- http://137.175.17.221:1443/ac.jar
- http://137.175.17.221:1443/agent
- http://137.175.17.221:1443/agent_w
- http://168.100.9.154:9090/Notification.msi
- http://176.105.255.60/Xdw0FFtpuYWSLrVcAei5zg
- https://206.166.251.186/jquery-3.3.1.min.js
MD5
- 11ec319e9984a71d80df1302fe77332d
- 160f7d2307bbc0e8a1b6ac03b8715e4f
- 26ff72b0b85e764400724e442c164046
- 31cbc75319ea60f45eb114c2faad21f9
- 478dcb54e0a610a160a079656b9582de
- 4eead95202e6a0e4936f681fd5579582
- 7699ba4eab5837a4ad9d5d6bbedffc18
- beb219abe2ba5e9fd7d51a178ac2caca
- c2f8c9bb7df688d0a7030a96314bb493
- c55eb07ef4c07e5ba63f7f0797dfd536
- dc9d60ce5b3d071942be126ed733bfb8