Обновлённый инструментарий позволил хакерам переключиться со шпионажа на финансовые атаки.
Северокорейская хакерская группа Andariel (Nicket Hyatt, Silent Chollima) продолжает кибератаки против корпораций и организаций в Южной Корее. Согласно AhnLab Security Emergency Response Center (), в 2023 году хакеры активно использовали вредоносные программы, разработанные на языке программирования ().
Andariel является подгруппой группировки Lazarus Group. Среди основных целей группы — финансовые учреждения, оборонные подрядчики, государственные агентства, университеты, ИБ-компании и энергетические компании. Целью атак является как шпионаж, так и финансирование деятельности страны.
Хакеры используют различные методы начального заражения, включая (Spear-phishing), атаки типа и атаки на поставщиков программного обеспечения. После успешного проникновения в систему злоумышленники развертывают различные виды вредоносного ПО.
Группа Andariel известна тем, что использует и . Впервые Andariel привлекла внимание в середине 2022 года. Используя уязвимость , Andariel доставляла на целевые устройства , включая YamaBot и , а также обновленные версии и DTrack.
Недавно Cisco Talos использование нового трояна группы QuiteRAT, который эксплуатирует уязвимости в Zoho ManageEngine ServiceDesk Plus. Кроме того, Andariel распространяла бэкдор 1th Troy, написанный на Golang. 1th Troy поддерживает выполнение команд, завершение процесса и функции самоудаления.
Новые разработки
Кроме того, Andariel использует новые вредоносные программы:
В ASEC заявили, что Andariel — одна из наиболее активных угроз, нацеленных на Корею, наряду с Kimsuky и Lazarus. По словам специалистов, группа фокусировалась на получении информации, связанной с национальной безопасностью, но теперь она проводит атаки в финансовых целях.
В июне исследователи «Лаборатории Касперского» ранее незадокументированное семейство вредоносных программ и выявили операционные ошибки, допущенные группой Andariel. Примечательно, что специалисты наблюдали за выполнением команд человеком-оператором и отметили многочисленные ошибки и опечатки, предполагая, что за операцией стоял неопытный злоумышленник.
Подробнее:
Северокорейская хакерская группа Andariel (Nicket Hyatt, Silent Chollima) продолжает кибератаки против корпораций и организаций в Южной Корее. Согласно AhnLab Security Emergency Response Center (), в 2023 году хакеры активно использовали вредоносные программы, разработанные на языке программирования ().
Andariel является подгруппой группировки Lazarus Group. Среди основных целей группы — финансовые учреждения, оборонные подрядчики, государственные агентства, университеты, ИБ-компании и энергетические компании. Целью атак является как шпионаж, так и финансирование деятельности страны.
Хакеры используют различные методы начального заражения, включая (Spear-phishing), атаки типа и атаки на поставщиков программного обеспечения. После успешного проникновения в систему злоумышленники развертывают различные виды вредоносного ПО.
Группа Andariel известна тем, что использует и . Впервые Andariel привлекла внимание в середине 2022 года. Используя уязвимость , Andariel доставляла на целевые устройства , включая YamaBot и , а также обновленные версии и DTrack.
Недавно Cisco Talos использование нового трояна группы QuiteRAT, который эксплуатирует уязвимости в Zoho ManageEngine ServiceDesk Plus. Кроме того, Andariel распространяла бэкдор 1th Troy, написанный на Golang. 1th Troy поддерживает выполнение команд, завершение процесса и функции самоудаления.
Новые разработки
Кроме того, Andariel использует новые вредоносные программы:
- Black RAT (написан на Go), расширяющий функционал 1th Troy для загрузки файлов и создания скриншотов;
- Goat RAT (написан на Go), поддерживающий базовые файловые задачи и функции самоудаления;
- AndarLoader (написанный на .NET), упрощенная версия Andardoor, действующая как загрузчик для извлечения из внешних источников и выполнения исполняемых файлов;
- DurianBeacon (написан на Go и Rust), позволяющий загружать и отправлять файлы, а также выполнять команды с удаленного сервера.
В ASEC заявили, что Andariel — одна из наиболее активных угроз, нацеленных на Корею, наряду с Kimsuky и Lazarus. По словам специалистов, группа фокусировалась на получении информации, связанной с национальной безопасностью, но теперь она проводит атаки в финансовых целях.
В июне исследователи «Лаборатории Касперского» ранее незадокументированное семейство вредоносных программ и выявили операционные ошибки, допущенные группой Andariel. Примечательно, что специалисты наблюдали за выполнением команд человеком-оператором и отметили многочисленные ошибки и опечатки, предполагая, что за операцией стоял неопытный злоумышленник.
Подробнее:
