Дора ПЪЛХ
Свързаният със Северна Корея заплаха, известен като Andariel, е бил наблюдаван да използва нов базиран на Golang заден ход, наречен Dora RAT, в атаките си, насочени към образователни институти, производствени фирми и строителни фирми в Южна Корея. Keylogger, infostealer и прокси инструменти в горната част на задната врата бяха използвани за атаките. Актьорът на заплахата вероятно е използвал тези видове зловреден софтуер, за да контролира и открадне данни от заразените системи.
Атаките се характеризират с използването на уязвим сървър Apache Tomcat за разпространение на зловреден софтуер, добави южнокорейската фирма за киберсигурност, отбелязвайки, че въпросната система работи с версията на Apache Tomcat от 2013 г., което я прави податлива на няколко уязвимости.
Съдържание
Andariel APT е основен актьор в сцената на киберпрестъпленията
Andariel , известен също с псевдоними като Nicket Hyatt, Onyx Sleet и Silent Chollima, представлява група Advanced PersistentThreat (APT), съобразена със стратегическите цели на Северна Корея поне от 2008 г.
Фракция в рамките на обширната Lazarus Group , този противник демонстрира история на използване на spear-phishing, watering hole атаки и експлоатиране на известни софтуерни уязвимости, за да получи първоначален достъп и да разпространи зловреден софтуер в целевите мрежи.
Докато спецификите относно методологията на атаката за внедряване на злонамерен софтуер не бяха разкрити от изследователите, беше подчертано, че е използван вариант на установения злонамерен софтуер Nestdoor. Този вариант притежава функционалности, които му позволяват да получава и изпълнява команди от отдалечен сървър, да прехвърля файлове, да инициира обратна обвивка, да събира данни от клипборда и натискания на клавиши и да работи като прокси.
Andariel APT внедри Dora RAT на компрометирани устройства
Атаките са използвали неразкрита задна вратичка, известна като Dora RAT, недокументирана преди това. Характеризира се като обикновен злонамерен софтуер с функционалности за операции с обратна обвивка и възможности за прехвърляне на файлове.
Освен това нападателят е използвал валиден сертификат, за да подпише и разпространи зловреден софтуер Dora RAT. Потвържденията показват, че някои щамове на Dora RAT, използвани в атаките, са били подписани с легитимен сертификат, издаден на разработчик на софтуер в Обединеното кралство.
Сред асортимента от щамове на зловреден софтуер, използвани в тези атаки, има keylogger, въведен чрез рационализиран вариант на Nestdoor, заедно със специализиран компонент за кражба на данни и SOCKS5 прокси инструмент, който споделя прилики с този, използван от Lazarus Group в 2021 ThreatNeedle кампания.
Групата Andariel се откроява като един от най-активните заплахи, действащи в Корея, заедно с групите Kimsuky и Lazarus. Първоначално фокусирани върху събирането на разузнавателна информация относно националната сигурност, те разшириха обхвата си, за да включат финансово мотивирани атаки.
Инфекциите с плъхове могат да доведат до опустошителни последици за жертвите
Троянските коне за отдалечен достъп (RAT) могат да причинят опустошителни последствия на жертвите поради тяхната натрапчива и тайна природа. Ето защо:
- Неупълномощен достъп : RAT предоставят на нападателите неограничен достъп до заразените системи. Този достъп им позволява да изпълняват команди, да инсталират или деинсталират софтуер, да променят файлове и да манипулират системните настройки от разстояние, като по същество им дава пълен контрол върху устройството на жертвата.
- Кражба на данни и наблюдение : RAT често включват функции като записване на клавиатури, заснемане на екрана и отвличане на уеб камера, което позволява на нападателите да наблюдават дейностите на жертвите в реално време. Тази способност за наблюдение позволява кражба на чувствителна информация, включително пароли, финансови данни, лични разговори и интелектуална собственост.
- Компрометиране на системата : RAT могат да компрометират целостта и функционалността на заразените системи. Нападателите могат да деактивират софтуера за сигурност, да променят системните конфигурации или дори да разположат допълнителен злонамерен софтуер, което води до нестабилност на системата, повреда на данните и загуба на производителност.
- Разпространение и мрежов компромет : RAT могат да улеснят разпространението на злонамерен софтуер в мрежата. След като едно устройство бъде заразено, нападателите могат да използват компрометираната система като стартова площадка за проникване в други свързани устройства, сървъри или инфраструктурни компоненти, потенциално причинявайки широко разпространени щети и смущения.
- Дългосрочна устойчивост : RATs са проектирани да поддържат постоянен достъп до заразени системи. Дори ако първоначалните опити за откриване и премахване са успешни, атакуващите могат да инсталират отново или повторно да активират зловреден софтуер, осигурявайки непрекъснат достъп и контрол върху компрометирани устройства за продължителни периоди.
- Увреждане на репутацията и правни последици : Успешната атака на RAT може да има тежки последици за жертвите, включително увреждане на тяхната репутация, загуба на доверие на клиентите и правни задължения. Нарушенията на чувствителните данни могат да доведат до регулаторни глоби, съдебни дела и други правни последици, което допълнително влошава репутационното и финансово въздействие върху засегнатите организации.
В обобщение, RAT инфекциите представляват значителни заплахи за жертвите, вариращи от неоторизиран достъп и кражба на данни до компрометиране на системата, разпространение в мрежата и дългосрочна устойчивост. Проактивните мерки за киберсигурност, включително редовни софтуерни актуализации, стабилна защита на крайната точка, обучение за информираност на потребителите и планиране на реакция при инциденти, са задължителни за смекчаване на рисковете, свързани с RAT атаките.
