Multi-License Discount Quote
Baza prijetnji Remote Administration Tools Dora ŠTAKOR

Dora ŠTAKOR

Do Mezo. Remote Administration Tools, Advanced Persistent Threat (APT). godine
Prevedi na:
Hrvatski

Prijetnja povezana sa Sjevernom Korejom poznata kao Andariel primijećena je kako koristi nova stražnja vrata bazirana na Golangu pod nazivom Dora RAT u svojim napadima usmjerenim na obrazovne institute, proizvodne tvrtke i građevinske tvrtke u Južnoj Koreji. Keylogger, infostealer i proxy alati na vrhu backdoora korišteni su za napade. Čimbenik prijetnje vjerojatno je koristio ove sorte zlonamjernog softvera za kontrolu i krađu podataka iz zaraženih sustava.

Napade karakterizira korištenje ranjivog poslužitelja Apache Tomcat za distribuciju zlonamjernog softvera, dodala je južnokorejska tvrtka za kibernetičku sigurnost, ističući da je dotični sustav pokretao verziju Apache Tomcat iz 2013., što ga čini osjetljivim na nekoliko ranjivosti.

Andariel APT je glavni akter na sceni kibernetičkog kriminala

Andariel , također poznat pod nadimcima kao što su Nicket Hyatt, Onyx Sleet i Silent Chollima, čini skupinu Advanced PersistentThreat (APT) usklađenu sa strateškim ciljevima Sjeverne Koreje od najmanje 2008.

Frakcija unutar opsežne Lazarus grupe , ovaj protivnik pokazuje povijest korištenja spear-phishinga, napada na vodu i iskorištavanja poznatih ranjivosti softvera za dobivanje početnog pristupa i širenje zlonamjernog softvera kroz ciljane mreže.

Iako istraživači nisu otkrili specifičnosti u vezi s metodologijom napada za implementaciju zlonamjernog softvera, istaknuto je da je korištena varijanta utvrđenog zlonamjernog softvera Nestdoor. Ova varijanta posjeduje funkcionalnosti koje joj omogućuju primanje i izvršavanje naredbi s udaljenog poslužitelja, prijenos datoteka, pokretanje obrnute ljuske, prikupljanje podataka međuspremnika i pritisaka na tipke te rad kao proxy.

Andariel APT je postavio Dora RAT na kompromitirane uređaje

U napadima su korištena neobjavljena stražnja vrata poznata kao Dora RAT, koja prethodno nisu bila dokumentirana. Karakteriziran je kao jednostavan zlonamjerni softver s funkcijama za obrnute operacije ljuske i mogućnostima prijenosa datoteka.

Nadalje, napadač je iskoristio važeći certifikat za potpisivanje i distribuciju zlonamjernog softvera Dora RAT. Potvrde pokazuju da su određeni sojevi Dora RAT-a korišteni u napadima bili potpisani legitimnim certifikatom izdanim razvojnom programeru softvera u Ujedinjenom Kraljevstvu.

Među asortimanom sojeva zlonamjernog softvera koji se koriste u ovim napadima, tu je i keylogger predstavljen kroz pojednostavljenu varijantu Nestdoora, zajedno sa specijaliziranom komponentom za krađu podataka i SOCKS5 proxy alatom koji dijeli sličnosti s onim koji je koristila Lazarus Group u ThreatNeedle 2021. kampanja.

Skupina Andariel ističe se kao jedan od najaktivnijih aktera prijetnji koji djeluju u Koreji, uz skupine Kimsuky i Lazarus. U početku su bili usmjereni na prikupljanje obavještajnih podataka koji se tiču nacionalne sigurnosti, a proširili su svoj opseg na financijski motivirane napade.

Infekcije štakorima mogle bi dovesti do razornih posljedica za žrtve

Trojanci udaljenog pristupa (RAT) mogu nanijeti razorne posljedice žrtvama zbog svoje nametljive i tajne prirode. Evo zašto:

  • Neovlašteni pristup : RAT-ovi napadačima daju neograničen pristup zaraženim sustavima. Ovaj im pristup omogućuje izvršavanje naredbi, instaliranje ili deinstaliranje softvera, modificiranje datoteka i upravljanje postavkama sustava na daljinu, u biti dajući im potpunu kontrolu nad žrtvinim uređajem.
  • Krađa podataka i nadzor : RAT-ovi često uključuju značajke kao što su keylogging, snimanje zaslona i otmica web-kamere, omogućujući napadačima praćenje aktivnosti žrtava u stvarnom vremenu. Ova mogućnost nadzora omogućuje krađu osjetljivih informacija, uključujući lozinke, financijske podatke, osobne razgovore i intelektualno vlasništvo.
  • Ugrožavanje sustava : RAT-ovi mogu ugroziti integritet i funkcionalnost zaraženih sustava. Napadači mogu onemogućiti sigurnosni softver, promijeniti konfiguracije sustava ili čak implementirati dodatni sadržaj zlonamjernog softvera, što dovodi do nestabilnosti sustava, oštećenja podataka i gubitka produktivnosti.
  • Širenje i ugrožavanje mreže : RAT-ovi mogu olakšati širenje zlonamjernog softvera unutar mreže. Nakon što je jedan uređaj zaražen, napadači mogu koristiti kompromitirani sustav kao lansirnu plohu za infiltraciju u druge povezane uređaje, poslužitelje ili komponente infrastrukture, potencijalno uzrokujući raširenu štetu i prekid.
  • Dugoročna postojanost : RAT-ovi su dizajnirani za održavanje trajnog pristupa zaraženim sustavima. Čak i ako početni pokušaji otkrivanja i uklanjanja budu uspješni, napadači mogu ponovno instalirati ili ponovno aktivirati zlonamjerni softver, osiguravajući stalni pristup i kontrolu nad ugroženim uređajima tijekom duljeg razdoblja.
  • Oštećenje ugleda i pravne posljedice : uspješan RAT napad može imati ozbiljne posljedice za žrtve, uključujući narušavanje njihovog ugleda, gubitak povjerenja kupaca i pravne obveze. Povrede osjetljivih podataka mogu rezultirati regulatornim kaznama, tužbama i drugim pravnim posljedicama, dodatno pogoršavajući reputaciju i financijski učinak na pogođene organizacije.

Ukratko, RAT infekcije predstavljaju značajnu prijetnju žrtvama, u rasponu od neovlaštenog pristupa i krađe podataka do kompromitacije sustava, širenja mreže i dugoročne postojanosti. Proaktivne mjere kibernetičke sigurnosti, uključujući redovita ažuriranja softvera, robusnu zaštitu krajnjih točaka, obuku za podizanje svijesti korisnika i planiranje odgovora na incidente, neophodne su za ublažavanje rizika povezanih s RAT napadima.

U trendu

Nagledanije

Učitavam...