O grupo de ameaças cibernéticas Andariel, vinculado à Coreia do Norte, foi recentemente observado utilizando um novo malware baseado em Golang, chamado Dora RAT, em ataques direcionados a instituições educacionais, empresas de manufatura e construção na Coreia do Sul.
O malware inclui keyloggers, ferramentas de roubo de informações e de proxy, além de um backdoor. “Provavelmente, o ator da ameaça usou essas variantes de malware para controlar e roubar dados dos sistemas infectados”, afirmou um relatório publicado na semana passada.
Os ataques são caracterizados pelo uso de um servidor Apache Tomcat vulnerável para distribuir o malware. Andariel, também conhecido pelos nomes Nicket Hyatt, Onyx Sleet e Silent Chollima, é um grupo de ameaças persistentes avançadas (APT) que opera em prol dos interesses estratégicos da Coreia do Norte desde pelo menos 2008. Como um subgrupo dentro do Grupo Lazarus, esse adversário tem um histórico de utilização de ataques de spear-phishing, watering hole e vulnerabilidades conhecidas em softwares para obter acesso inicial e distribuir malware nas redes alvo.
Outra ferramenta utilizada nos ataques é um backdoor previamente não documentado, chamado Dora RAT, descrito como uma “simples variante de malware” com suporte para shell reverso e capacidades de download/upload de arquivos.