Un gruppo hacker dalla Corea del Nord, noto come Andariel, è stato osservato mentre faceva uso di unanuova backdoor basata su Golang chiamato Dora RAT nei suoi attacchi mirati a istituti educativi, aziende manifatturiere e imprese di costruzione in Corea del Sud.
L’analisi tecnica di Dora RAT da parte degli esperti sdi sicurezza informatica
“Keylogger, Infostealer e strumenti proxy oltre al backdoor sono stati utilizzati per gli attacchi [informatici]“, ha detto l’AhnLab Security Intelligence Center (ASEC) in un rapporto pubblicato la scorsa settimana. “È probabile che il gruppo di minacce abbia utilizzato questi ceppi di malware per controllare e rubare dati dai sistemi infetti.”
Gli attacchi sono caratterizzati dall’uso di un server Apache Tomcat vulnerabile per distribuire il malware, ha aggiunto la società di sicurezza informatica della Corea del Sud, notando che il sistema in questione eseguiva la versione del 2013 di Apache Tomcat, rendendolo suscettibile a diverse tipologie di vulnerabilità.
Andariel, noto anche con i nomi Nicket Hyatt, Onyx Sleet e Silent Chollima, è un gruppo di minacce persistenti avanzate (APT) che opera a favore degli interessi strategici della Corea del Nord, si stima almeno dal 2008.
Possibili connessioni con altri gruppi noti dalla Corea del Nord: Lazarous Group uno su tutti
Un sottogruppo all’interno del prolifico Lazarus Group, l’avversario ha una storia di sfruttamento del spear-phishing, degli attacchi watering hole e delle vulnerabilità di sicurezza note nel software per ottenere l’accesso iniziale e distribuire malware alle reti prese di mira.
ASEC non ha elaborato sulla catena di attacco utilizzata per la distribuzione del malware, ma ha notato l’uso di una variante di un malware noto chiamato Nestdoor, che ha capacità di ricevere ed eseguire comandi da un server remoto, caricare e scaricare file, avviare una shell inversa (reverse shell), catturare dati degli appunti e battiture di tasti e funzionare come proxy.
Nelle attacchi è stato utilizzato anche un backdoor precedentemente non documentato chiamato Dora RAT, descritto come un “semplice ceppo di malware” con supporto per shell inversa o reverse shell e capacità di scaricare e caricare i file.
Dora RAT è stato reso “legittimo” tramite firme legittime “prese in prestito”
“L’attaccante ha anche firmato e distribuito il malware [Dora RAT] utilizzando un certificato valido“, ha osservato ASEC. “Alcuni dei ceppi di Dora RAT utilizzati per l’attacco sono stati confermati come firmati con un certificato valido di uno sviluppatore di software del Regno Unito.”
Altri ceppi di malware consegnati negli attacchi comprendono un keylogger installato tramite una variante leggera di Nestdoor, nonché un infostealer dedicato e un proxy SOCKS5 che mostra sovrapposizioni con uno strumento proxy simile utilizzato dal Lazarus Group nella campagna ThreatNeedle del 2021.
“Il gruppo Andariel è uno dei gruppi di minacce altamente attivi in Corea, insieme ai gruppi Kimsuky e Lazarus“, ha detto ASEC. “Il gruppo inizialmente ha lanciato attacchi per acquisire informazioni relative alla sicurezza nazionale, ma ora ha anche iniziato ad attaccare per guadagno finanziario.“
Lazarus Group che in un modo o nell’altro torna sempre
Dora RAT non è certamente la prima minaccia informatica “fabbricata” in Corea del Nord, fatto sta che il gruppo Lazarus ha un’influenza notevole nel mondo della sicurezza informatica, questo nonostante la Corea del Nord sia notoriamente uno stato “chiuso”.
È possibile tuttavia che alcuni che stanno ai piani alti della Corea del Nord, possano avere un accesso ad internet globale, che di fatto è vietato al cittadino medio nordcoreano.
Conclusione
Gli attacchi sofisticati e persistenti di gruppi come Andariel mettono in evidenza l’importanza di mantenere aggiornati i sistemi e implementare misure di sicurezza robuste.
La capacità di firmare malware con certificati validi e sfruttare vulnerabilità note dimostra come gli avversari informatici siano in grado di adattarsi e evolvere costantemente le loro tattiche, rendendo fondamentale per le organizzazioni rafforzare le proprie difese e rimanere vigili contro minacce sempre più avanzate.