Aggiornamenti recenti Luglio 14th, 2025 4:57 PM
Set 11, 2023 Marina Londei Attacchi, Hacking, Intrusione, Malware, Minacce, News, RSS 0
Andariel, un gruppo di cybercriminali nord-coreano, sta usando nuovi tool per colpire organizzazioni e istituzioni della Corea del Sud. Sottogruppo di Lazarus, Andariel ha raffinato le proprie tecniche per distribuire il malware, sviluppando anche numerose varianti scritte in Go.
I ricercatori dell’AhnLab Security Emergency Response Center (ASEC) hanno seguito le attività del gruppo degli ultimi mesi, scoprendo che Andariel ha cominciato a usare il software Innorix Agent, prodotto per trasferire file tra due dispositivi in rete, non solo per scaricare malware dal server C2, ma anche per creare direttamente il file dei software malevoli.
Pixabay
Il gruppo sta utilizzando nuovi strumenti, come Black RAT, una backdoor scritta in Go in grado di scaricare e installare file sul dispositivo, ottenere la lista di cartelle e file e catturare screenshot. In modo simile, il gruppo ha utilizzato anche il malware Goat RAT; in questo caso Andariel ha sfruttato Innorix Agent per installare il malware con il nome “iexplorer.exe”.
Nello stesso periodo, il gruppo ha utilizzato AndarLoader, un downloader usato per scaricare ed eseguire file .NET da sorgenti esterne. AndarLoader è in grado di installare Mimikatz sul dispositivo colpito per ottenere le credenziali di accesso del sistema.
Il gruppo ha inoltre utilizzato un nuovo malware chiamato DurianBeacon, sviluppato in due versioni: una scritta in Go e l’altra in Rust. In entrambi i casi le backdoor possono comunicare col server C2 dell’attaccante, ottenere informazioni sul sistema colpito (username, computer name, architettura, memoria utilizzata), scaricare/inviare file ed eseguire comandi.
Pixabay
Andariel, spiegano i ricercatori, è uno dei gruppi più attivi nel campo del cybercrimine con la Corea del Sud, insieme a Kimsuky e Lazarus. Se all’inizio il gruppo sferrava i propri attacchi per ottenere informazioni di carattere politico e sulla sicurezza nazionale, oggi le sue intenzioni sono principalmente economiche.
Per ottenere l’accesso iniziale ai dispositivi il gruppo sfrutta sia vulnerabilità software, sia tecniche di phishing. I ricercatori rinnovano quindi l’invito a non scaricare allegati provenienti da indirizzi mail sconosciuti, non eseguire file scaricati da siti web sospetti e mantenere aggiornati sistema operativo e applicazioni installate.
Lug 10, 2025 0
Giu 19, 2025 0
Giu 17, 2025 0
Giu 11, 2025 0
Lug 14, 2025 0
Lug 14, 2025 0
Lug 11, 2025 0
Lug 10, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 14, 2025 0
I ricercatori di AG Security Research hanno individuato una...Lug 14, 2025 0
Nel corso di questa settimana, il CERT-AGID ha individuato...Lug 11, 2025 0
I ricercatori di PCA Cybersecurity hanno individuato un set...Lug 10, 2025 0
Una grave falla di sicurezza ha trasformato una sessione...Lug 10, 2025 0
Un nuovo gruppo APT entra nei radar dei ricercatori di...