Dora RAT

S'ha observat que l'actor d'amenaça vinculat a Corea del Nord conegut com Andariel utilitza una nova porta del darrere basada a Golang anomenada Dora RAT en els seus atacs contra instituts educatius, empreses de fabricació i empreses de construcció a Corea del Sud. Per als atacs es van utilitzar eines de keylogger, infostealer i proxy a la part superior de la porta posterior. L'actor de l'amenaça probablement va utilitzar aquestes soques de programari maliciós per controlar i robar dades dels sistemes infectats.

Els atacs es caracteritzen per l'ús d'un servidor Apache Tomcat vulnerable per distribuir el programari maliciós, va afegir l'empresa de ciberseguretat de Corea del Sud, que va assenyalar que el sistema en qüestió executava la versió 2013 d'Apache Tomcat, cosa que el feia susceptible a diverses vulnerabilitats.

L'Andariel APT és un actor important en l'escena del cibercrim

Andariel , també conegut per àlies com Nicket Hyatt, Onyx Sleet i Silent Chollima, constitueix un grup Advanced Persistent Threat (APT) alineat amb els objectius estratègics de Corea del Nord almenys des de 2008.

Una facció dins de l'extens grup de Lazarus , aquest adversari demostra una història d'utilització de pesca, atacs d'aigua i d'explotació de vulnerabilitats de programari conegudes per obtenir l'accés inicial i difondre programari maliciós a través de xarxes dirigides.

Tot i que els investigadors no van revelar detalls sobre la metodologia d'atac per al desplegament de programari maliciós, es va destacar que es va utilitzar una variant del programari maliciós Nestdoor establert. Aquesta variant té funcionalitats que li permeten rebre i executar ordres des d'un servidor remot, transferir fitxers, iniciar un intèrpret d'ordres invers, recopilar dades del porta-retalls i pulsacions de tecles i operar com a proxy.

L'Andariel APT va desplegar el Dora RAT a dispositius compromesos

Els atacs van utilitzar una porta del darrere no revelada coneguda com la Dora RAT, abans indocumentada. Es caracteritza per ser un programari maliciós senzill amb funcionalitats per a operacions de shell inversa i capacitats de transferència de fitxers.

A més, l'atacant ha utilitzat un certificat vàlid per signar i distribuir el programari maliciós Dora RAT. Les confirmacions indiquen que determinades soques de la Dora RAT utilitzades en els atacs es van signar amb un certificat legítim emès a un desenvolupador de programari al Regne Unit.

Entre la varietat de soques de programari maliciós desplegades en aquests atacs, hi ha un keylogger introduït a través d'una variant simplificada de Nestdoor, juntament amb un component especialitzat en robatori de dades i una eina intermedia SOCKS5 que comparteix similituds amb una utilitzada pel Grup Lazarus a ThreatNeedle 2021. campanya.

El grup Andariel destaca com un dels actors d'amenaça més actius que operen a Corea, al costat dels grups Kimsuky i Lazarus. Inicialment centrats a recopilar informació sobre la seguretat nacional, han ampliat el seu abast per incloure atacs amb motivació financera.

Les infeccions per RAT podrien tenir conseqüències devastadores per a les víctimes

Els troians d'accés remot (RAT) poden infligir conseqüències devastadores a les víctimes a causa de la seva naturalesa intrusiva i clandestina. Heus aquí per què:

• Accés no autoritzat : les RAT concedeixen als atacants accés sense restriccions als sistemes infectats. Aquest accés els permet executar ordres, instal·lar o desinstal·lar programari, modificar fitxers i manipular la configuració del sistema de forma remota, donant-los bàsicament control total sobre el dispositiu de la víctima.
• Robatori de dades i vigilància : les RAT solen incloure funcions com ara el registre de tecles, la captura de pantalla i el segrest de càmeres web, que permeten als atacants supervisar les activitats de les víctimes en temps real. Aquesta capacitat de vigilància permet robar informació sensible, com ara contrasenyes, dades financeres, converses personals i propietat intel·lectual.
• Compromis del sistema : les RAT poden comprometre la integritat i la funcionalitat dels sistemes infectats. Els atacants poden desactivar el programari de seguretat, alterar les configuracions del sistema o fins i tot desplegar càrregues útils addicionals de programari maliciós, provocant inestabilitat del sistema, corrupció de dades i pèrdua de productivitat.
• Propagació i compromís de xarxa : les RAT poden facilitar la propagació de programari maliciós dins d'una xarxa. Un cop infectat un únic dispositiu, els atacants poden utilitzar el sistema compromès com a plataforma de llançament per infiltrar-se en altres dispositius connectats, servidors o components d'infraestructura, que poden causar danys i interrupcions generalitzats.
• Persistència a llarg termini : les RAT estan dissenyades per mantenir l'accés persistent als sistemes infectats. Fins i tot si els intents inicials de detecció i eliminació tenen èxit, els atacants poden reinstal·lar o reactivar el programari maliciós, garantint l'accés i el control continuats dels dispositius compromesos durant períodes prolongats.
• Danys a la reputació i conseqüències legals : un atac RAT reeixit pot tenir greus repercussions per a les víctimes, com ara danys a la seva reputació, pèrdua de confiança del client i responsabilitats legals. Les infraccions de dades sensibles poden comportar multes regulatòries, demandes i altres conseqüències legals, que agreugen encara més l'impacte financer i reputacional de les organitzacions afectades.

En resum, les infeccions per RAT suposen amenaces importants per a les víctimes, que van des de l'accés no autoritzat i el robatori de dades fins al compromís del sistema, la propagació de la xarxa i la persistència a llarg termini. Les mesures proactives de ciberseguretat, incloses les actualitzacions periòdiques de programari, la protecció robusta dels punts finals, la formació de conscienciació dels usuaris i la planificació de la resposta a incidents, són imprescindibles per mitigar els riscos associats als atacs RAT.