O grupo de ameaças ligado à Coreia do Norte conhecido como Andariel foi observado utilizando um novo backdoor baseado em Golang chamado Dora RAT em seus ataques direcionados a instituições educacionais, empresas de manufatura e construção na Coreia do Sul.
Um relatório publicado recentemente pelo Centro de Inteligência de Segurança da AhnLab (ASEC) revelou que o grupo tem utilizado keyloggers, Infostealers e ferramentas de proxy em cima do backdoor para os ataques. Provavelmente, o grupo usou essas cepas de Malware para controlar e roubar dados dos sistemas infectados.
Os ataques se caracterizam pelo uso de um servidor Apache Tomcat vulnerável para distribuir o malware. O grupo cibernético sul-coreano identificou que o servidor em questão rodava a versão de 2013 do Apache Tomcat, tornando-o suscetível a várias vulnerabilidades.
Andariel, também conhecido por alguns outros nomes, é um grupo de ameaças persistentes avançadas (APT) que opera em prol dos interesses estratégicos da Coreia do Norte desde pelo menos 2008. Uma sub-faixa do prolífico grupo Lazarus, o grupo possui um histórico de ataques de phishing direcionado, ataques de watering hole e exploração de vulnerabilidades conhecidas em software para obter acesso inicial e distribuir malware em redes específicas.
ASEC não entrou em detalhes sobre a cadeia de ataque usada para o implante de malware, mas observou que foi utilizado uma variante de um malware conhecido chamado Nestdoor, que possui capacidades para receber e executar comandos de um servidor remoto, fazer upload/download de arquivos, lançar um shell reverso, capturar dados de área de transferência e teclas digitadas, e agir como um proxy.
Também utilizado nos ataques está um backdoor anteriormente não documentado chamado Dora RAT, que foi descrito como uma cepa de malware simples com suporte para shell reverso e capacidades de download/upload de arquivos.
Algumas das outras cepas de malware entregues nos ataques incluem um keylogger instalado via uma variante enxuta do Nestdoor, bem como um ladrão de informações dedicado e um proxy SOCKS5 que apresenta sobreposições com uma ferramenta de proxy similar usada pelo grupo Lazarus em uma campanha anterior.
ASEC destacou que o grupo Andariel é um dos grupos de ameaças mais ativos na Coreia, ao lado dos grupos Kimsuky e Lazarus, inicialmente lançando ataques para obter informações relacionadas à segurança nacional, mas agora também atacando por ganho financeiro.