Multi-License Discount Quote
قاعدة بيانات التهديد Remote Administration Tools دورا رات

دورا رات

بواسطة Mezo في Remote Administration Tools, Advanced Persistent Threat (APT)
ترجمة الى:
العربية

تمت ملاحظة جهة التهديد المرتبطة بكوريا الشمالية والمعروفة باسم Andariel وهي تستخدم بابًا خلفيًا جديدًا مقره في Golang يسمى Dora RAT في هجماتها التي تستهدف المعاهد التعليمية وشركات التصنيع وشركات البناء في كوريا الجنوبية. تم استخدام أدوات Keylogger وinfostealer وأدوات الوكيل الموجودة أعلى الباب الخلفي في الهجمات. من المحتمل أن جهة التهديد استخدمت سلالات البرامج الضارة هذه للتحكم وسرقة البيانات من الأنظمة المصابة.

وأضافت شركة الأمن السيبراني الكورية الجنوبية أن الهجمات تتميز باستخدام خادم Apache Tomcat الضعيف لتوزيع البرامج الضارة، مشيرة إلى أن النظام المعني كان يشغل إصدار 2013 من Apache Tomcat، مما يجعله عرضة للعديد من نقاط الضعف.

تعد Andariel APT ممثلًا رئيسيًا في مسرح الجرائم الإلكترونية

تشكل Andariel ، المعروفة أيضًا بأسماء مستعارة مثل Nicket Hyatt وOnyx Sleet وSilent Chollima، مجموعة التهديد المستمر المتقدم (APT) المتوافقة مع الأهداف الإستراتيجية لكوريا الشمالية منذ عام 2008 على الأقل.

يُظهر هذا الخصم، وهو فصيل ضمن مجموعة Lazarus Group الواسعة، تاريخًا من استخدام التصيد الاحتيالي وهجمات الحفر واستغلال نقاط الضعف المعروفة في البرامج للوصول الأولي ونشر البرامج الضارة عبر الشبكات المستهدفة.

على الرغم من عدم الكشف عن التفاصيل المتعلقة بمنهجية الهجوم لنشر البرامج الضارة من قبل الباحثين، فقد تم تسليط الضوء على أنه تم استخدام متغير من البرمجيات الخبيثة Nestdoor. يمتلك هذا المتغير وظائف تمكنه من تلقي وتنفيذ الأوامر من خادم بعيد، ونقل الملفات، وبدء عملية عكسية، وجمع بيانات الحافظة وضغطات المفاتيح، والعمل كوكيل.

قامت Andariel APT بنشر Dora RAT على الأجهزة المُخترقة

استخدمت الهجمات بابًا خلفيًا غير معلن يُعرف باسم Dora RAT، ولم يكن موثقًا من قبل. ويتميز بأنه برنامج ضار مباشر مزود بوظائف لعمليات الصدفة العكسية وقدرات نقل الملفات.

علاوة على ذلك، استخدم المهاجم شهادة صالحة للتوقيع على برنامج Dora RAT الضار وتوزيعه. وتشير التأكيدات إلى أن سلالات معينة من برنامج Dora RAT المستخدم في الهجمات تم توقيعها بشهادة شرعية صادرة لمطور برامج في المملكة المتحدة.

من بين مجموعة متنوعة من سلالات البرامج الضارة المنتشرة في هذه الهجمات، هناك برنامج Keylogger تم تقديمه من خلال متغير مبسط من Nestdoor، إلى جانب مكون متخصص لسرقة البيانات وأداة وكيل SOCKS5 التي تشترك في أوجه التشابه مع تلك المستخدمة من قبل Lazarus Group في 2021 ThreatNeedle حملة.

تبرز مجموعة Andariel كواحدة من أكثر الجهات الفاعلة تهديدًا نشاطًا في كوريا، إلى جانب مجموعتي Kimsuky وLazarus. في البداية، ركزت هذه الهجمات على جمع المعلومات الاستخبارية المتعلقة بالأمن القومي، ثم وسعت نطاقها ليشمل الهجمات ذات الدوافع المالية.

يمكن أن تؤدي عدوى RAT إلى عواقب مدمرة للضحايا

يمكن لأحصنة طروادة ذات الوصول عن بعد (RATs) أن تلحق عواقب مدمرة على الضحايا بسبب طبيعتها التطفلية والسرية. إليكم السبب:

  • الوصول غير المصرح به : تمنح RATs للمهاجمين وصولاً غير مقيد إلى الأنظمة المصابة. يمكّنهم هذا الوصول من تنفيذ الأوامر، وتثبيت البرامج أو إلغاء تثبيتها، وتعديل الملفات، ومعالجة إعدادات النظام عن بُعد، مما يمنحهم بشكل أساسي التحكم الكامل في جهاز الضحية.
  • سرقة البيانات والمراقبة : غالبًا ما تشتمل برامج RATs على ميزات مثل تسجيل لوحة المفاتيح والتقاط الشاشة واختطاف كاميرا الويب، مما يسمح للمهاجمين بمراقبة أنشطة الضحايا في الوقت الفعلي. تتيح قدرة المراقبة هذه سرقة المعلومات الحساسة، بما في ذلك كلمات المرور والبيانات المالية والمحادثات الشخصية والملكية الفكرية.
  • اختراق النظام : يمكن أن تؤدي برامج RAT إلى تعريض سلامة الأنظمة المصابة ووظائفها للخطر. قد يقوم المهاجمون بتعطيل برامج الأمان، أو تغيير تكوينات النظام، أو حتى نشر حمولات إضافية من البرامج الضارة، مما يؤدي إلى عدم استقرار النظام، وتلف البيانات، وفقدان الإنتاجية.
  • الانتشار وتسوية الشبكة : يمكن لبرامج RAT تسهيل انتشار البرامج الضارة داخل الشبكة. بمجرد إصابة جهاز واحد، يمكن للمهاجمين استخدام النظام المخترق كمنصة انطلاق للتسلل إلى الأجهزة أو الخوادم أو مكونات البنية التحتية الأخرى المتصلة، مما قد يتسبب في أضرار وتعطيل واسع النطاق.
  • الثبات على المدى الطويل : تم تصميم RATs للحفاظ على الوصول المستمر إلى الأنظمة المصابة. حتى لو نجحت محاولات الكشف والإزالة الأولية، فقد يقوم المهاجمون بإعادة تثبيت البرامج الضارة أو إعادة تنشيطها، مما يضمن استمرار الوصول والتحكم في الأجهزة المخترقة لفترات طويلة.
  • الضرر بالسمعة والعواقب القانونية : يمكن أن يكون لهجوم RAT الناجح تداعيات خطيرة على الضحايا، بما في ذلك الإضرار بسمعتهم، وفقدان ثقة العملاء، والمسؤوليات القانونية. قد تؤدي انتهاكات البيانات الحساسة إلى فرض غرامات تنظيمية ودعاوى قضائية وعواقب قانونية أخرى، مما يزيد من تفاقم التأثير المالي والسمعة على المؤسسات المتضررة.

باختصار، تشكل عدوى RAT تهديدات كبيرة للضحايا، بدءًا من الوصول غير المصرح به وسرقة البيانات إلى اختراق النظام، وانتشار الشبكة، والاستمرار على المدى الطويل. تعد تدابير الأمن السيبراني الاستباقية، بما في ذلك تحديثات البرامج المنتظمة، والحماية القوية لنقطة النهاية، والتدريب على توعية المستخدم، والتخطيط للاستجابة للحوادث، أمرًا ضروريًا للتخفيف من المخاطر المرتبطة بهجمات RAT.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
39,708
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...