Multi-License Discount Quote
Databáze hrozeb Remote Administration Tools Dora RAT

Dora RAT

V roce Mezo v roce Remote Administration Tools, Advanced Persistent Threat (APT)
Přeložit do:
Čeština

Aktér ohrožení napojený na Severní Koreu známý jako Andariel byl pozorován, jak používá nová zadní vrátka se sídlem v Golangu s názvem Dora RAT při svých útocích zaměřených na vzdělávací instituty, výrobní firmy a stavební podniky v Jižní Koreji. K útokům byly použity keylogger, infostealer a proxy nástroje na zadních vrátkách. Aktér hrozby pravděpodobně použil tyto kmeny malwaru ke kontrole a krádeži dat z infikovaných systémů.

Útoky jsou charakterizovány použitím zranitelného serveru Apache Tomcat k distribuci malwaru, dodala jihokorejská firma zabývající se kybernetickou bezpečností s tím, že dotyčný systém provozoval verzi Apache Tomcat z roku 2013, takže je náchylný k několika zranitelnostem.

Andariel APT je hlavním aktérem na scéně počítačové kriminality

Andariel , známý také pod přezdívkami jako Nicket Hyatt, Onyx Sleet a Silent Chollima, představuje skupinu Advanced PersistentThreat (APT), která je v souladu se strategickými cíli Severní Koreje minimálně od roku 2008.

Frakce v rámci rozsáhlé skupiny Lazarus Group , tento protivník demonstruje historii využívání spear-phishingu, útoků typu watering hole a využívání známých zranitelností softwaru k získání počátečního přístupu a šíření malwaru v cílených sítích.

Zatímco specifika ohledně metodologie útoku pro nasazení malwaru výzkumníci nezveřejnili, bylo zdůrazněno, že byla použita varianta zavedeného malwaru Nestdoor. Tato varianta má funkce, které jí umožňují přijímat a spouštět příkazy ze vzdáleného serveru, přenášet soubory, iniciovat reverzní shell, shromažďovat data ze schránky a stisky kláves a fungovat jako proxy.

Andariel APT nasadil Dora RAT na kompromitovaná zařízení

Útoky zaměstnávaly nezveřejněná zadní vrátka známá jako Dora RAT, dříve nezdokumentovaná. Je charakterizován jako přímočarý malware s funkcemi pro zpětné operace shellu a přenos souborů.

Útočník navíc použil platný certifikát k podepsání a distribuci malwaru Dora RAT. Potvrzení naznačují, že určité kmeny Dora RAT použité při útocích byly podepsány legitimním certifikátem vydaným softwarovému vývojáři ve Spojeném království.

Mezi sortimentem malwarových kmenů nasazených při těchto útocích je keylogger představený prostřednictvím zjednodušené varianty Nestdoor, spolu se specializovanou komponentou pro krádeže dat a proxy nástrojem SOCKS5, který sdílí podobnosti s nástrojem používaným skupinou Lazarus v ThreatNeedle 2021. kampaň.

Skupina Andariel vyniká jako jeden z nejaktivnějších aktérů hrozeb působících v Koreji vedle skupin Kimsuky a Lazarus. Původně se zaměřovaly na shromažďování zpravodajských informací týkajících se národní bezpečnosti, ale rozšířily svou působnost i na finančně motivované útoky.

Infekce RAT by mohly vést k ničivým následkům pro oběti

Trojské koně pro vzdálený přístup (RAT) mohou obětem způsobit ničivé následky kvůli jejich rušivé a tajné povaze. Zde je důvod:

  • Neoprávněný přístup : RAT poskytují útočníkům neomezený přístup k infikovaným systémům. Tento přístup jim umožňuje spouštět příkazy, instalovat nebo odinstalovat software, upravovat soubory a manipulovat s nastavením systému na dálku, což jim v podstatě dává plnou kontrolu nad zařízením oběti.
  • Krádež dat a sledování : RAT často obsahují funkce, jako je keylogging, snímání obrazovky a únos webové kamery, což útočníkům umožňuje sledovat aktivity obětí v reálném čase. Tato funkce sledování umožňuje krádež citlivých informací, včetně hesel, finančních dat, osobních konverzací a duševního vlastnictví.
  • Ohrožení systému : RAT mohou ohrozit integritu a funkčnost infikovaných systémů. Útočníci mohou deaktivovat bezpečnostní software, změnit konfiguraci systému nebo dokonce nasadit další užitečné zatížení malwaru, což vede k nestabilitě systému, poškození dat a ztrátě produktivity.
  • Šíření a kompromis sítě : RAT mohou usnadnit šíření malwaru v rámci sítě. Jakmile je jedno zařízení infikováno, útočníci mohou použít kompromitovaný systém jako spouštěcí panel k infiltraci dalších připojených zařízení, serverů nebo komponent infrastruktury, což může způsobit rozsáhlé škody a narušení.
  • Dlouhodobá perzistence : RAT jsou navrženy tak, aby udržovaly trvalý přístup k infikovaným systémům. I když jsou pokusy o prvotní detekci a odstranění úspěšné, útočníci mohou malware přeinstalovat nebo aktivovat, a zajistit tak nepřetržitý přístup a kontrolu nad ohroženými zařízeními po delší dobu.
  • Poškození reputace a právní důsledky : Úspěšný útok RAT může mít vážné dopady na oběti, včetně poškození jejich pověsti, ztráty důvěry zákazníků a právní odpovědnosti. Porušení citlivých údajů může vést k regulačním pokutám, soudním sporům a dalším právním důsledkům, které dále zhorší reputační a finanční dopady na dotčené organizace.

Stručně řečeno, infekce RAT představují významné hrozby pro oběti, od neoprávněného přístupu a krádeže dat po kompromitaci systému, šíření sítě a dlouhodobou perzistenci. Proaktivní opatření v oblasti kybernetické bezpečnosti, včetně pravidelných aktualizací softwaru, robustní ochrany koncových bodů, školení informovanosti uživatelů a plánování reakce na incidenty, jsou nutností ke zmírnění rizik spojených s útoky RAT.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
39,708
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...