Dora RAT

Pohjois-Koreaan sidoksissa oleva uhkatoimija nimeltä Andariel on havaittu käyttävän uutta Golang-pohjaista takaovea nimeltä Dora RAT hyökkäyksissään Etelä-Korean oppilaitoksia, valmistusyrityksiä ja rakennusyrityksiä vastaan. Hyökkäyksiin käytettiin Keyloggeria, infostealeriä ja takaoven päällä olevia välityspalvelintyökaluja. Uhkatekijä todennäköisesti käytti näitä haittaohjelmakantoja hallitakseen ja varastaakseen tietoja tartunnan saaneista järjestelmistä.

Hyökkäyksille on ominaista haavoittuvan Apache Tomcat -palvelimen käyttö haittaohjelmien levittämiseen, eteläkorealainen kyberturvallisuusyritys lisäsi ja huomautti, että kyseessä oleva järjestelmä käytti Apache Tomcatin vuoden 2013 versiota, mikä tekee siitä alttiita useille haavoittuvuuksille.

Andariel APT on päänäyttelijä tietoverkkorikollisuudessa

Andariel , joka tunnetaan myös aliaksilla, kuten Nicket Hyatt, Onyx Sleet ja Silent Chollima, muodostaa Advanced PersistentThreat (APT) -ryhmän, joka on linjassa Pohjois-Korean strategisten tavoitteiden kanssa ainakin vuodesta 2008 lähtien.

Tämä vastustaja, joka kuuluu laajaan Lazarus-ryhmään , osoittaa, että hän on käyttänyt keihäänkalastelua, vesihyökkäyksiä ja hyödyntänyt tunnettuja ohjelmiston haavoittuvuuksia päästäkseen alkuun ja levittääkseen haittaohjelmia kohdistetuissa verkoissa.

Vaikka tutkijat eivät paljastaneet haittaohjelmien käyttöönoton hyökkäysmenetelmiä koskevia yksityiskohtia, korostettiin, että käytettiin muunnelmaa vakiintuneesta Nestdoor-haittaohjelmasta. Tässä versiossa on toimintoja, joiden avulla se voi vastaanottaa ja suorittaa komentoja etäpalvelimelta, siirtää tiedostoja, käynnistää käänteisen kuoren, kerätä leikepöydän tietoja ja näppäinpainalluksia ja toimia välityspalvelimena.

Andariel APT otti Dora RATin käyttöön vaarantuneisiin laitteisiin

Hyökkäyksissä käytettiin julkistamatonta takaovea, joka tunnettiin nimellä Dora RAT ja jota ei aiemmin ollut dokumentoitu. Se on luonnehdittu yksinkertaiseksi haittaohjelmaksi, joka sisältää toiminnallisuuksia käänteisiin shell-toimintoihin ja tiedostojen siirtoon.

Lisäksi hyökkääjä on käyttänyt voimassa olevaa varmennetta Dora RAT -haittaohjelman allekirjoittamiseen ja levittämiseen. Vahvistukset osoittavat, että tietyt hyökkäyksissä käytetyt Dora RAT -kannat allekirjoitettiin laillisella varmenteella, joka on myönnetty ohjelmistokehittäjälle Yhdistyneessä kuningaskunnassa.

Näissä hyökkäyksissä käytettyjen haittaohjelmien joukossa on näppäinloggeri, joka esiteltiin virtaviivaistetun Nestdoor-version kautta, sekä erikoistunut tietojen varastaminen komponentti ja SOCKS5-välityspalvelin, jolla on yhtäläisyyksiä Lazarus Groupin vuoden 2021 ThreatNeedlessä käyttämän työkalun kanssa. kampanja.

Andariel-ryhmä erottuu yhdeksi aktiivisimmista Koreassa toimivista uhkatoimijoista Kimsuky- ja Lazarus-ryhmien rinnalla. Alun perin keskittyneet kansalliseen turvallisuuteen liittyvien tiedustelutietojen keräämiseen, he ovat laajentaneet toiminta-aluettaan koskemaan myös taloudellisia hyökkäyksiä.

RAT-infektiot voivat johtaa tuhoisiin seurauksiin uhreille

Etäkäyttötroijalaiset (RAT) voivat aiheuttaa tuhoisia seurauksia uhreille niiden häiritsevän ja salaisen luonteen vuoksi. Tässä syy:

• Luvaton käyttö : RAT:t antavat hyökkääjille rajoittamattoman pääsyn tartunnan saaneisiin järjestelmiin. Tämän pääsyn avulla he voivat suorittaa komentoja, asentaa tai poistaa ohjelmistoja, muokata tiedostoja ja käsitellä järjestelmäasetuksia etänä, mikä antaa heille käytännössä täyden hallinnan uhrin laitteeseen.
• Tietojen varkaus ja valvonta : RAT:t sisältävät usein ominaisuuksia, kuten näppäinlokituksen, näytön kaappauksen ja verkkokameran kaappauksen, jolloin hyökkääjät voivat seurata uhrien toimintaa reaaliajassa. Tämä valvontaominaisuus mahdollistaa arkaluontoisten tietojen, kuten salasanojen, taloustietojen, henkilökohtaisten keskustelujen ja immateriaaliomaisuuden, varastamisen.
• Järjestelmän vaarantaminen : RAT:t voivat vaarantaa tartunnan saaneiden järjestelmien eheyden ja toiminnallisuuden. Hyökkääjät voivat poistaa tietoturvaohjelmistot käytöstä, muuttaa järjestelmän kokoonpanoja tai jopa ottaa käyttöön ylimääräisiä haittaohjelmia, mikä johtaa järjestelmän epävakauteen, tietojen vioittumiseen ja tuottavuuden menettämiseen.
• Levitys ja verkon kompromissi : RAT:t voivat helpottaa haittaohjelmien leviämistä verkossa. Kun yksittäinen laite on saanut tartunnan, hyökkääjät voivat käyttää vaarantunutta järjestelmää käynnistyslevynä tunkeutuakseen muihin yhdistettyihin laitteisiin, palvelimiin tai infrastruktuurin osiin, mikä saattaa aiheuttaa laajaa vahinkoa ja häiriöitä.
• Pitkäaikainen pysyvyys : RAT:t on suunniteltu ylläpitämään jatkuvaa pääsyä tartunnan saaneisiin järjestelmiin. Vaikka ensimmäiset tunnistus- ja poistoyritykset onnistuisivat, hyökkääjät voivat asentaa haittaohjelman uudelleen tai aktivoida ne uudelleen, mikä varmistaa jatkuvan pääsyn ja hallinnan vaarantuneisiin laitteisiin pitkiä aikoja.
• Mainevaurio ja oikeudelliset seuraukset : Onnistunut RAT-hyökkäys voi aiheuttaa vakavia seurauksia uhreille, mukaan lukien maineen vahingoittuminen, asiakkaiden luottamuksen menetys ja oikeudelliset vastuut. Arkaluontoisten tietojen loukkaukset voivat johtaa viranomaisoikeudellisiin sakkoihin, oikeudenkäynteihin ja muihin oikeudellisiin seurauksiin, mikä pahentaa entisestään asianomaisten organisaatioiden maine- ja taloudellisia vaikutuksia.

Yhteenvetona voidaan todeta, että RAT-infektiot aiheuttavat merkittäviä uhkia uhreille, jotka vaihtelevat luvattomasta käytöstä ja tietovarkauksista järjestelmän vaarantumiseen, verkon leviämiseen ja pitkäaikaiseen pysyvyyteen. Ennakoivat kyberturvallisuustoimenpiteet, mukaan lukien säännölliset ohjelmistopäivitykset, vankka päätepistesuojaus, käyttäjien tietoisuuskoulutus ja tapaturmien reagointisuunnittelu, ovat välttämättömiä RAT-hyökkäyksiin liittyvien riskien vähentämiseksi.