北韩威胁行动对南韩的影响

文章重点

• 北韩的国家赞助进阶持续威胁（APT）行动针对南韩的制造、建筑及教育等行业展开攻击。
• Andariel小组（包含代号Silent Chollima, Nickel Hyatt及Onyx Sleet）在此次攻击中散布了Dora RAT恶意软体。
• 此次攻击利用了Apache Tomcat的漏洞，并有证据显示Dora RAT携带的恶意程式拥有来自英国开发者的有效证书。
• 此外，Andariel小组还使用了Nestdoor恶意软体来进行更复杂的攻击，包括命令执行、反向Shell启动以及键盘记录等能力。

在最近的报导中指出，南韩的制造、建筑及教育行业受到北韩国家资助的进阶持续威胁组织的攻击，这些攻击由Andariel小组（也称作SilentChollima、Nickel Hyatt和Onyx Sleet）所发起，并散布了一种新型DoraRAT恶意软体，具备反向Shell及文件上传和下载的功能。

Andariel小组利用了一个过时的Apache Tomcat漏洞来推广DoraRAT，根据安蓝实验室安全情报中心的报告，其中一个恶意程式的变种甚至拥有来自英国软体开发者的有效证书。

除了DoraRAT之外，Andariel的入侵还涉及到Nestdoor恶意软体的部署。Nestdoor具备命令执行、反向Shell启动、剪贴簿资料及键盘击录的能力，并且还使用了SOCKS5代理和定制的资料窃取恶意程式。

研究人员表示：“Andariel最初发动攻击是为了获取与国家安全相关的信息，但现在他们也开始为了财务利益进行攻击。”

在持续演变的威胁环境中，南韩的企业必须加强其网络安全防护，以应对日益增长的这种类型的网络攻击。