Dora ROT

Andarieli nime all tuntud Põhja-Koreaga seotud ohutegijat on täheldatud Lõuna-Korea haridusasutuste, tootmisettevõtete ja ehitusettevõtete vastu suunatud rünnakutes uut Golangi-põhist tagaust nimega Dora RAT. Rünnakuteks kasutati tagaukse peal olevaid Keyloggerit, infostealeri ja puhverserveri tööriistu. Tõenäoliselt kasutas ohutegija neid pahavara tüvesid nakatunud süsteemide andmete kontrollimiseks ja varastamiseks.

Rünnakuid iseloomustab haavatava Apache Tomcati serveri kasutamine pahavara levitamiseks, lisas Lõuna-Korea küberjulgeolekufirma, märkides, et kõnealune süsteem kasutas Apache Tomcati 2013. aasta versiooni, muutes selle vastuvõtlikuks mitmele haavatavusele.

Andariel APT on küberkuritegevuse stseeni peamine näitleja

Andariel , tuntud ka varjunimede, nagu Nicket Hyatt, Onyx Sleet ja Silent Chollima, all, moodustab Advanced PersistentThreat (APT) rühma, mis on kooskõlas Põhja-Korea strateegiliste eesmärkidega vähemalt alates 2008. aastast.

See vastane on ulatuslikku Lazaruse gruppi kuuluv rühmitus, kes on varem kasutanud andmepüügi, vesirünnakute ja tuntud tarkvara haavatavuste ärakasutamist, et saada esmane juurdepääs ja levitada pahavara sihitud võrkudes.

Kuigi teadlased ei avalikustanud pahavara juurutamise ründemetoodika üksikasju, rõhutati, et kasutati väljakujunenud Nestdoori pahavara varianti. Sellel variandil on funktsioonid, mis võimaldavad sellel kaugserverist käske vastu võtta ja täita, faile edastada, pöördkesta algatada, lõikelaua andmeid ja klahvivajutusi koguda ning puhverserverina töötada.

Andariel APT juurutas Dora RAT-i ohustatud seadmetes

Rünnakud kasutasid avalikustamata tagaust, mida tuntakse Dora RAT nime all ja mis varem ei olnud dokumenteeritud. Seda iseloomustatakse kui lihtsat pahavara, millel on funktsioonid kesta pöördoperatsioonide ja failiedastusvõimaluste jaoks.

Lisaks on ründaja kasutanud Dora RAT pahavara allkirjastamiseks ja levitamiseks kehtivat sertifikaati. Kinnitused näitavad, et teatud rünnetes kasutatud Dora RAT tüved allkirjastati Ühendkuningriigi tarkvaraarendajale välja antud seadusliku sertifikaadiga.

Nendes rünnakutes kasutatavate pahavara tüvede hulgas on Nestdoori täiustatud variandi kaudu kasutusele võetud klahvilogija, spetsiaalne andmete varastamise komponent ja SOCKS5 puhverserveri tööriist, millel on sarnasusi Lazarus Groupi 2021. aasta ThreatNeedle'is kasutatud tööriistaga. kampaania.

Andarieli rühmitus paistab Kimsuky ja Lazaruse rühmituste kõrval silma kui üks aktiivsemaid Koreas tegutsevaid ohutegureid. Esialgu keskendudes riigi julgeolekut puudutavate luureandmete kogumisele, on nad laiendanud oma ulatust, hõlmates ka rahaliselt motiveeritud rünnakuid.

RAT-nakkused võivad ohvritele põhjustada laastavaid tagajärgi

Kaugjuurdepääsu troojalased (RAT) võivad oma pealetükkiva ja salajase olemuse tõttu ohvritele laastavaid tagajärgi põhjustada. Siin on põhjus:

• Volitamata juurdepääs : RAT-id annavad ründajatele piiramatu juurdepääsu nakatunud süsteemidele. See juurdepääs võimaldab neil täita käske, installida või desinstallida tarkvara, muuta faile ja manipuleerida süsteemiseadetega eemalt, andes neile sisuliselt täieliku kontrolli ohvri seadme üle.
• Andmete vargus ja jälgimine : RAT-id sisaldavad sageli selliseid funktsioone nagu klahvilogimine, ekraani jäädvustamine ja veebikaamera kaaperdamine, mis võimaldab ründajatel ohvrite tegevust reaalajas jälgida. See jälgimisvõimalus võimaldab varastada tundlikku teavet, sealhulgas paroole, finantsandmeid, isiklikke vestlusi ja intellektuaalomandit.
• Süsteemi kompromiss : RAT-id võivad kahjustada nakatunud süsteemide terviklikkust ja funktsionaalsust. Ründajad võivad keelata turbetarkvara, muuta süsteemi konfiguratsioone või isegi juurutada täiendavat pahavara kasulikku koormust, mis põhjustab süsteemi ebastabiilsust, andmete riknemist ja tootlikkuse vähenemist.
• Levitamine ja võrgu kompromiss : RAT-id võivad hõlbustada pahavara levikut võrgus. Kui üks seade on nakatunud, saavad ründajad kasutada ohustatud süsteemi käivitusplatvormina, et tungida teistesse ühendatud seadmetesse, serveritesse või infrastruktuuri komponentidesse, põhjustades potentsiaalselt ulatuslikku kahju ja häireid.
• Pikaajaline püsivus : RAT-id on loodud selleks, et säilitada püsiv juurdepääs nakatunud süsteemidele. Isegi kui esmased tuvastamis- ja eemaldamiskatsed on edukad, võivad ründajad pahavara uuesti installida või uuesti aktiveerida, tagades pideva juurdepääsu ohustatud seadmetele ja kontrolli nende üle pikema aja jooksul.
• Mainekahju ja õiguslikud tagajärjed : edukal RAT-i rünnakul võivad olla ohvritele tõsised tagajärjed, sealhulgas nende maine kahjustamine, klientide usalduse kaotus ja juriidilised kohustused. Tundlike andmete rikkumine võib kaasa tuua regulatiivsed trahvid, kohtuasjad ja muud õiguslikud tagajärjed, mis veelgi süvendab mõjutatud organisatsioonide mainet ja rahalist mõju.

Kokkuvõttes kujutavad RAT-nakkused ohvritele märkimisväärset ohtu, alates volitamata juurdepääsust ja andmete vargusest kuni süsteemi kompromiteerimise, võrgu leviku ja pikaajalise püsimiseni. Ennetavad küberjulgeolekumeetmed, sealhulgas regulaarsed tarkvaravärskendused, jõuline lõpp-punktide kaitse, kasutajate teadlikkuse tõstmise koolitus ja intsidentidele reageerimise planeerimine, on RAT-rünnakutega seotud riskide maandamiseks kohustuslikud toimingud.