Multi-License Discount Quote
Trusseldatabase Remote Administration Tools Dora RAT

Dora RAT

Med Mezo i Remote Administration Tools, Advanced Persistent Threat (APT)
Oversæt til:
Dansk

Den nordkoreanske trusselsaktør kendt som Andariel er blevet observeret ved at bruge en ny Golang-baseret bagdør kaldet Dora RAT i sine angreb rettet mod uddannelsesinstitutioner, produktionsvirksomheder og byggevirksomheder i Sydkorea. Keylogger, infostealer og proxyværktøjer oven på bagdøren blev brugt til angrebene. Trusselsaktøren brugte sandsynligvis disse malware-stammer til at kontrollere og stjæle data fra de inficerede systemer.

Angrebene er karakteriseret ved brugen af en sårbar Apache Tomcat-server til at distribuere malwaren, tilføjede det sydkoreanske cybersikkerhedsfirma og bemærkede, at det pågældende system kørte 2013-versionen af Apache Tomcat, hvilket gør det modtageligt for flere sårbarheder.

Andariel APT er en stor skuespiller i cyberkriminalitet

Andariel , også kendt under aliaser som Nicket Hyatt, Onyx Sleet og Silent Chollima, udgør en Advanced PersistentThreat (APT)-gruppe, der er tilpasset Nordkoreas strategiske mål siden mindst 2008.

Denne modstander, som er en fraktion inden for den omfattende Lazarus-gruppe , demonstrerer en historie med brug af spear-phishing, vandhulsangreb og udnyttelse af kendte softwaresårbarheder for at få indledende adgang og sprede malware på tværs af målrettede netværk.

Mens detaljer vedrørende angrebsmetoden for malware-implementering ikke blev afsløret af forskere, blev det fremhævet, at en variant af den etablerede Nestdoor-malware blev brugt. Denne variant besidder funktionaliteter, der gør det muligt at modtage og udføre kommandoer fra en fjernserver, overføre filer, starte en omvendt shell, indsamle klippebordsdata og tastetryk og fungere som en proxy.

Andariel APT implementerede Dora RAT til kompromitterede enheder

Angrebene brugte en uoplyst bagdør kendt som Dora RAT, tidligere udokumenteret. Det er karakteriseret som ligetil malware med funktionaliteter til reverse shell-operationer og filoverførselsmuligheder.

Ydermere har angriberen brugt et gyldigt certifikat til at signere og distribuere Dora RAT-malwaren. Bekræftelser indikerer, at visse stammer af Dora RAT, der blev brugt i angrebene, blev underskrevet med et legitimt certifikat udstedt til en softwareudvikler i Det Forenede Kongerige.

Blandt udvalget af malware-stammer, der er implementeret i disse angreb, er der en keylogger introduceret gennem en strømlinet variant af Nestdoor, sammen med en specialiseret data-stjælende komponent og et SOCKS5 proxy-værktøj, der deler ligheder med et, der blev brugt af Lazarus Group i 2021 ThreatNeedle kampagne.

Andariel-gruppen skiller sig ud som en af de mest aktive trusselsaktører, der opererer i Korea, sammen med Kimsuky- og Lazarus-grupperne. I første omgang fokuserede de på at indsamle efterretninger om national sikkerhed, og de har udvidet deres omfang til at omfatte økonomisk motiverede angreb.

RAT-infektioner kan føre til ødelæggende konsekvenser for ofrene

Remote Access Trojans (RAT'er) kan påføre ofre ødelæggende konsekvenser på grund af deres påtrængende og hemmelige natur. Her er hvorfor:

  • Uautoriseret adgang : RAT'er giver angribere ubegrænset adgang til inficerede systemer. Denne adgang sætter dem i stand til at udføre kommandoer, installere eller afinstallere software, ændre filer og fjernmanipulere systemindstillinger, hvilket i det væsentlige giver dem fuld kontrol over ofrets enhed.
  • Datatyveri og overvågning : RAT'er inkluderer ofte funktioner såsom keylogging, skærmfangst og webcam-kapring, hvilket giver angribere mulighed for at overvåge ofres aktiviteter i realtid. Denne overvågningsfunktion muliggør tyveri af følsomme oplysninger, herunder adgangskoder, økonomiske data, personlige samtaler og intellektuel ejendom.
  • Systemkompromis : RAT'er kan kompromittere integriteten og funktionaliteten af inficerede systemer. Angribere kan deaktivere sikkerhedssoftware, ændre systemkonfigurationer eller endda implementere yderligere malware-nyttelaster, hvilket fører til systemustabilitet, datakorruption og tab af produktivitet.
  • Udbredelse og netværkskompromis : RAT'er kan lette spredningen af malware inden for et netværk. Når en enkelt enhed er inficeret, kan angribere bruge det kompromitterede system som en startplads til at infiltrere andre tilsluttede enheder, servere eller infrastrukturkomponenter, hvilket potentielt kan forårsage omfattende skader og forstyrrelser.
  • Langsigtet persistens : RAT'er er designet til at opretholde vedvarende adgang til inficerede systemer. Selv hvis indledende opdagelse og fjernelsesforsøg lykkes, kan angribere geninstallere eller genaktivere malwaren, hvilket sikrer fortsat adgang og kontrol over kompromitterede enheder i længere perioder.
  • Omdømmeskade og juridiske konsekvenser : Et vellykket RAT-angreb kan have alvorlige følger for ofrene, herunder skade på deres omdømme, tab af kundetillid og juridiske forpligtelser. Brud på følsomme data kan resultere i lovgivningsmæssige bøder, retssager og andre juridiske konsekvenser, hvilket yderligere forværrer den omdømmemæssige og økonomiske indvirkning på berørte organisationer.

Sammenfattende udgør RAT-infektioner betydelige trusler for ofrene, lige fra uautoriseret adgang og datatyveri til systemkompromis, netværksudbredelse og langsigtet persistens. Proaktive cybersikkerhedsforanstaltninger, herunder regelmæssige softwareopdateringer, robust slutpunktsbeskyttelse, træning i brugerbevidsthed og hændelsesresponsplanlægning, er must-dos for at mindske risiciene forbundet med RAT-angreb.

Trending

Mest sete

Indlæser...