Аналитический центр AhnLab Security (ASEC) обнаружил серию APT-атак, известных как Andariel, на корейские организации. Целью атак оказались образовательные учреждения, компании в сфере производства и строительства в Корее. В ходе атак применялись различные инструменты, включая Keylogger, Infostealer и прокси-серверы. Злоумышленники использовали эти вредоносные программы для контроля и кражи данных с зараженных систем.
Анализ приведенных случаев атак показал, что в основном использовались штаммы вредоносных программ, ранее связанных с группой Andariel. Наиболее известным из них является бэкдор Nestdoor. В некоторых случаях применялись также прокси-инструменты, ранее использованные группой Lazarus. Однако файлы прокси-инструментов в этих атаках не совпадали с ранее обнаруженными.
Отдельное подтверждение атак было получено через распространение вредоносного ПО с помощью веб-сервера Apache Tomcat. Используя уязвимости в системе, работающей на старой версии Apache Tomcat, злоумышленники устанавливали различные вредоносные программы, включая бэкдоры и прокси-серверы.
Nestdoor и Dora RAT. Nestdoor, обнаруженные в атаках группы Andariel, является штаммом вредоносной программы RAT, который может получать команды от злоумышленника и выполнять различные действия на зараженной системе. В некоторых случаях Nestdoor использовался вместе с другими вредоносными программами, такими как TigerRAT, для проведения атак.
Dora RAT, разработанный на языке программирования Go, представляет собой относительно простую вредоносную программу, которая поддерживает обратную оболочку и загрузку/выгрузку файлов. Она может работать как отдельный файл или внедряться в процесс explorer.exe.
Indicators of Compromise
IPv4 Port Combinations
- 206.72.205.117:443
- 209.127.19.223:443
- 4.246.149.227:1443
- 45.58.159.237:443
Domain Port Combinations
- kmobile.bestunif.com:443
MD5
- 094f9a757c6dbd6030bc6dae3f8feab3
- 33b2b5b7c830c34c688cf6ced287e5be
- 468c369893d6fc6614d24ea89e149e80
- 4bc571925a80d4ae4aab1e8900bf753c
- 5df3c3e1f423f1cce5bf75f067d1d05c
- 5e00df548f2dcf7a808f1337f443f3d9
- 7416ea48102e2715c87edd49ddbd1526
- 951e9fcd048b919516693b25c13a9ef2
- a2aefb7ab6c644aa8eeb482e27b2dbc4
- afc5a07d6e438880cea63920277ed270
- d92a317ef4d60dc491082a2fe6eb7a70
- e7fd7f48fbf5635a04e302af50dfb651
- fee610058c417b6c4b3054935b7e2730
