Un minaccioso gruppo hacker nordcoreano noto come Andariel (presumibilmente un sottogruppo di Lazarus, noto gruppo hacker dalla Corea del Nord) è stato osservato impiegare un arsenale di strumenti malevoli nei suoi attacchi informatici contro società e organizzazioni nella sua controparte meridionale (la Corea del Sud).
Cosa si sa di Andariel
“Una caratteristica degli attacchi identificati nel 2023 è che sono presenti numerose varianti di malware sviluppate nel linguaggio Go“, ha dichiarato il Centro di Risposta d’Emergenza della Sicurezza AhnLab (ASEC) in un’analisi approfondita pubblicata la scorsa settimana.
Andariel, conosciuto anche con i nomi Nicket Hyatt o Silent Chollima, è un sottogruppo del Lazarus Group attivo, probabilmente, almeno dal 2008.
Le istituzioni finanziarie, le aziende di difesa, le agenzie governative, le università, i fornitori di sicurezza informatica e le aziende energetiche sono tra i principali obiettivi di questo gruppo mandato in avanscoperta dalle autorità norcoreane per perpetrare attività di spionaggio e generare illegalmente entrate per il paese.
La serie di attacchi portate ha sfruttato una varietà di vettori di infezione iniziale, come lo spear-phishing, attacchi watering hole, attacchi alla supply chain, il tutto come punto di partenza per lanciare differenti carichi di file malevoli.
Alcune delle famiglie di malware impiegate da Andariel nei suoi attacchi includono Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, Phandoor, Andarat, Andaratm, TigerRAT (e il suo successore MagicRAT), e EarlyRAT.
Un altro derivato di TigerRAT è QuiteRAT, che è stato recentemente documentato da Cisco Talos come utilizzato dal Lazarus Group in intrusioni che sfruttano vulnerabilità di sicurezza in Zoho ManageEngine ServiceDesk Plus.
Uno degli attacchi rilevati da ASEC nel febbraio 2023 sembra aver coinvolto lo sfruttamento di vulnerabilità di sicurezza in una soluzione di trasferimento file aziendale chiamata Innorix Agent per distribuire backdoor come Volgmer e Andardoor, così come un reverse shell basato su Golang noto come 1th Troy.
“Essendo un reverse shell che fornisce solo comandi di base, i comandi supportati includono ‘cmd’, ‘exit’ e ‘self delete'”, ha dichiarato l’azienda di sicurezza informatica. “Essi supportano rispettivamente l’esecuzione di comandi, la terminazione dei processi e l’autocancellazione.”
Di seguito è riportata una breve descrizione di alcuni dei nuovi software malevoli utilizzati da Andariel:
- Black RAT (scritto in Go), che estende le funzionalità di 1th Troy per supportare il download di file e la cattura di schermate.
- Goat RAT (scritto in Go), che supporta compiti di base sui file e funzionalità di autocancellazione.
- AndarLoader (scritto in .NET), una versione semplificata di Andardoor che funge da downloader per recuperare ed eseguire dati eseguibili come assembly .NET da fonti esterne.
- DurianBeacon (scritto in Go e Rust), che può scaricare/caricare file ed eseguire comandi inviati da un server remoto.
Le prove raccolte finora indicano che Goat RAT viene consegnato dopo il successo dello sfruttamento di Innorix Agent, mentre AndarLoader viene installato tramite DurianBeacon.
“Il gruppo Andariel è uno dei gruppi [più] minacciosi altamente attivi che mirano alla Corea [del Sud], insieme a Kimsuky e Lazarus”, ha affermato ASEC, aggiungendo, “Il gruppo ha lanciato attacchi per ottenere informazioni legate alla sicurezza nazionale nei primi giorni, ma ora compie attacchi per scopi finanziari.”
Questo sviluppo avviene mentre gli hacker nordcoreani sono stati implicati in una nuova serie di campagne che cercano di infiltrare repository open-source come npm e PyPI con pacchetti malevoli e avvelenare la catena di distribuzione del software malevolo.
Quando le minacce informatiche colpiscono le autorità di una nazione, automaticamente anche i cittadini ne vengono colpiti; pertanto, sebbene sia difficile che gruppi come Lazarus o Andraiel colpiscano il nostro paese, è sempre bene avere password solide, avere buone abitudini di navigazione e cambiare le credenziali (password, soprattutto) se uno dei siti ai quali sei registrato viene bucato.
