与朝鲜有关的威胁组织Andariel被发现使用一种名为 Dora RAT 的基于 Golang 的新型后门，针对韩国的教育机构、制造公司和建筑企业进行攻击。

塞讯安全实验室研究发现，攻击使用了后门上的键盘记录器、信息窃取程序和代理工具。攻击者可能使用这些恶意软件来控制和窃取受感染系统的数据。

这些攻击的特点是使用存在漏洞的 Apache Tomcat 服务器来传播恶意软件，并指出有问题的系统运行的是 2013 版 Apache Tomcat，因此容易受到多个漏洞的攻击。

Andariel，又名 Nickel Hyatt、Onyx Sleet 和 Silent Chollima，是一个高级持续性威胁 (APT) 组织，自 2008 年以来一直代表朝鲜的战略利益开展活动。

作为 Lazarus Group 的一个下属组织，该威胁组织曾利用鱼叉式网络钓鱼、水坑攻击和软件中已知的安全漏洞来获取初始访问权限并向目标网络分发恶意软件。

根据对近期的攻击中用于恶意软件部署的攻击链的追踪与研究，发现其还使用了一种名为 Nestdoor 的已知恶意软件的变种，该恶意软件具有从远程服务器接收和执行命令、上传/下载文件、启动反向 shell、捕获剪贴板数据和击键以及充当代理的功能。

攻击中使用的之前未曾使用的后门程序 Dora RAT是一种“简单的恶意软件”，支持反向 shell 和文件下载/上传功能。

我们发现，攻击者还使用有效证书签署并分发了 Dora RAT 恶意软件。用于攻击的一些 Dora RAT 样本已确认使用来自英国软件开发商的有效证书签署。”

攻击中传播的其他恶意软件包括通过精简版 Nestdoor 变种安装的键盘记录器、专用的信息窃取程序和 SOCKS5 代理，后者与 Lazarus Group 在2021 年 ThreatNeedle 活动中使用的类似代理工具有重叠。

Andariel 组织是与 Kimsuky 和 Lazarus 组织并列的活跃于韩国的威胁组织之一。该组织最初发动攻击是为了获取与国家安全相关的信息，但现在他们也开始以经济利益为目的发动攻击。因此各组织都不可掉以轻心。

与此同时，塞讯安全实验室还发现，至少自 2023 年 11 月以来，一种名为 SmallTiger 的恶意软件就针对韩国国防和半导体制造实体发起了攻击。其中一些入侵利用了 SmallTiger 来传递一种名为 DurianBeacon 的已知 Golang 后门，该后门之前被认为归属于 Andariel。

针对该威胁组织所采用的手段的攻击模拟规则已经加入到塞讯安全度量验证平台中，您可以在塞讯安全度量验证平台中搜索关键词“Andariel”、 “Kimsuky”、 “Lazarus”、 “Nestdoor”、 “Infostealer”、 “ThreatNeedle”、 “键盘记录”、 “DurianBeacon”、 “SOCKS5” 获取相关攻击模拟验证动作，从而验证您的安全防御体系是否能够有效应对该威胁组织的攻击，平台以业界独有方式确保您的验证过程安全无害。

公众号：塞讯安全验证