北韓駭客組織Andariel鎖定虛擬化平臺VMware Horizo​​n的Log4Shell漏洞下手，意圖散布後門程式Dora RAT

資安業者AhnLab揭露北韓駭客Andariel近期鎖定韓國教育機構、製造業、營造業而來的攻擊行動，攻擊者利用後門程式來執行鍵盤側錄工具、竊資軟體、代理伺服器工具，藉此控制受害電腦並竊取機密資料。

研究人員並未透露這些駭客如何入侵受害電腦，但指出約自2022年5月起，攻擊者在過程中使用C++打造的後門程式Nestdoor，也有搭配Web Shell的情況，對方假借提供OpenVPN安裝程式來進行散播。

而這些攻擊行動的共通點，就是藉由Log4Shell漏洞（CVE-2021-44228）來部署惡意程式，而之所以能運用這個管道，主要是因為受害組織使用桌面虛擬化平臺VMware Horizo​​n，且當中搭配的Tomcat元件具有這個弱點。

到了最近，這些駭客也開始利用Go語言開發的惡意軟體Dora RAT。

相較於Nestdoor，研究人員認為Dora RAT功能相對單純，主要能支援反向Shell，並能讓攻擊者上傳或下載檔案。他們看到駭客執行此木馬程式的方式有兩種，其中一種是直接執行，另一種則是透過注入檔案總管（explorer.exe）的處理程序載入。

值得留意的是，駭客濫用有效憑證簽署Dora RAT，其中有些憑證的擁有者是英國軟體開發業者。