Sommario
Le organizzazioni e le aziende del sud stanno subendo attacchi cibernetici sempre più sofisticati da parte dell’attore della minaccia nordcoreano noto come Andariel. Questo gruppo, attivo dal 2008 e noto anche con i nomi Nicket Hyatt o Silent Chollima, sta utilizzando una vasta gamma di strumenti malevoli nei suoi assalti, con un aumento significativo delle varianti di malware sviluppate nel linguaggio Go. In questo articolo, analizzeremo le tecniche di attacco impiegate da Andariel e le sue recenti attività malevole.
Profilo e obiettivi del gruppo Andariel
Il gruppo Andariel, una sottoclasse del noto Lazarus Group, ha una lunga storia di attività malevole che risale almeno al 2008. Le istituzioni finanziarie, i contractor della difesa, le agenzie governative, le università, i fornitori di cybersecurity e le compagnie energetiche rappresentano i principali bersagli di questo gruppo sponsorizzato dallo stato, che mira a finanziare attività di spionaggio e a generare illegalmente entrate per il paese. Inizialmente focalizzato sulle informazioni relative alla sicurezza nazionale, ora il gruppo conduce attacchi principalmente per guadagni finanziari.
Tecniche di attacco e strumenti malevoli utilizzati
Andariel ha adottato una varietà di vettori di infezione iniziale, come spear-phishing, watering holes e attacchi alla supply chain, per lanciare diversi payload. Tra le famiglie di malware impiegate da Andariel nei suoi attacchi, troviamo Gh0st RAT, DTrack, YamaBot, NukeSped, Rifdoor, Phandoor, Andarat, Andaratm, TigerRAT e i suoi successori, e EarlyRAT. Recentemente, è stata documentata l’uso di una variante di TigerRAT, QuiteRAT, da parte del gruppo Lazarus per sfruttare le vulnerabilità di sicurezza in Zoho ManageEngine ServiceDesk Plus.
Nuovi software malevoli e campagne recenti
Nel febbraio 2023, ASEC ha rilevato attacchi che sfruttavano le falle di sicurezza in una soluzione di trasferimento di file aziendale chiamata Innorix Agent per distribuire backdoor come Volgmer e Andardoor, oltre a una shell reversa basata su Golang chiamata 1th Troy. Questa shell reversa offre comandi di base, tra cui ‘cmd’, ‘exit’ e ‘self delete’, che supportano rispettivamente l’esecuzione di comandi, la terminazione del processo e le funzionalità di auto-eliminazione. Altri nuovi software malevoli utilizzati da Andariel includono Black RAT, Goat RAT, AndarLoader e DurianBeacon, ognuno con le proprie funzionalità distintive.
Le recenti attività di Andariel evidenziano una crescente minaccia per le organizzazioni nel sud, con una serie di nuovi strumenti malevoli in uso. Inoltre, gli attori nordcoreani sono stati implicati in nuove campagne che cercano di infiltrare repository open-source come npm e PyPI con pacchetti malevoli, avvelenando così la catena di approvvigionamento del software.
