Dora RATTO
L'attore criminale legato alla Corea del Nord noto come Andariel è stato osservato utilizzare una nuova backdoor basata su Golang chiamata Dora RAT nei suoi attacchi contro istituti scolastici, aziende manifatturiere e imprese di costruzione in Corea del Sud. Per gli attacchi sono stati utilizzati keylogger, infostealer e strumenti proxy sulla backdoor. Probabilmente l'autore della minaccia ha utilizzato questi ceppi di malware per controllare e rubare dati dai sistemi infetti.
Gli attacchi sono caratterizzati dall'uso di un server Apache Tomcat vulnerabile per distribuire il malware, ha aggiunto la società di sicurezza informatica sudcoreana, sottolineando che il sistema in questione utilizzava la versione 2013 di Apache Tomcat, rendendolo suscettibile a diverse vulnerabilità.
Sommario
L'APT Andariel è un attore importante nella scena del crimine informatico
Andariel , conosciuto anche con alias come Nicket Hyatt, Onyx Sleet e Silent Chollima, costituisce un gruppo Advanced PersistentThreat (APT) allineato con gli obiettivi strategici della Corea del Nord almeno dal 2008.
Una fazione all'interno del vasto gruppo Lazarus , questo avversario dimostra una storia di utilizzo di spear-phishing, attacchi wateringhole e di sfruttamento di vulnerabilità note del software per ottenere l'accesso iniziale e diffondere malware attraverso le reti prese di mira.
Anche se i dettagli relativi alla metodologia di attacco per l'implementazione del malware non sono stati divulgati dai ricercatori, è stato evidenziato che è stata utilizzata una variante del noto malware Nestdoor. Questa variante possiede funzionalità che le consentono di ricevere ed eseguire comandi da un server remoto, trasferire file, avviare una shell inversa, raccogliere dati degli appunti e sequenze di tasti e operare come proxy.
L'APT Andariel ha utilizzato il Dora RAT su dispositivi compromessi
Gli attacchi hanno utilizzato una backdoor segreta nota come Dora RAT, precedentemente non documentata. È caratterizzato come malware semplice con funzionalità per operazioni di shell inversa e capacità di trasferimento di file.
Inoltre l'aggressore ha utilizzato un certificato valido per firmare e distribuire il malware Dora RAT. Le conferme indicano che alcuni ceppi del Dora RAT utilizzati negli attacchi erano firmati con un certificato legittimo rilasciato a uno sviluppatore di software nel Regno Unito.
Tra l'assortimento di ceppi di malware distribuiti in questi attacchi, c'è un keylogger introdotto tramite una variante semplificata di Nestdoor, insieme a un componente specializzato per il furto di dati e uno strumento proxy SOCKS5 che condivide somiglianze con quello utilizzato dal Lazarus Group nel ThreatNeedle del 2021 campagna.
Il gruppo Andariel si distingue come uno degli autori di minacce più attivi che operano in Corea, insieme ai gruppi Kimsuky e Lazarus. Inizialmente concentrati sulla raccolta di informazioni sulla sicurezza nazionale, hanno ampliato il loro campo d'azione per includere attacchi motivati finanziariamente.
Le infezioni da ratti potrebbero portare a conseguenze devastanti per le vittime
I Trojan di accesso remoto (RAT) possono infliggere conseguenze devastanti alle vittime a causa della loro natura intrusiva e clandestina. Ecco perché:
- Accesso non autorizzato : i RAT garantiscono agli aggressori un accesso illimitato ai sistemi infetti. Questo accesso consente loro di eseguire comandi, installare o disinstallare software, modificare file e manipolare le impostazioni di sistema da remoto, dando loro essenzialmente il pieno controllo sul dispositivo della vittima.
- Furto di dati e sorveglianza : i RAT spesso includono funzionalità come keylogging, acquisizione di schermate e dirottamento della webcam, consentendo agli aggressori di monitorare le attività delle vittime in tempo reale. Questa capacità di sorveglianza consente il furto di informazioni sensibili, tra cui password, dati finanziari, conversazioni personali e proprietà intellettuale.
- Compromissione del sistema : i RAT possono compromettere l'integrità e la funzionalità dei sistemi infetti. Gli aggressori possono disabilitare il software di sicurezza, alterare le configurazioni del sistema o persino distribuire ulteriori payload di malware, portando all'instabilità del sistema, alla corruzione dei dati e alla perdita di produttività.
- Propagazione e compromissione della rete : i RAT possono facilitare la diffusione di malware all'interno di una rete. Una volta infettato un singolo dispositivo, gli aggressori possono utilizzare il sistema compromesso come trampolino di lancio per infiltrarsi in altri dispositivi, server o componenti dell’infrastruttura connessi, causando potenzialmente danni e interruzioni diffusi.
- Persistenza a lungo termine : i RAT sono progettati per mantenere l'accesso persistente ai sistemi infetti. Anche se i tentativi iniziali di rilevamento e rimozione hanno esito positivo, gli aggressori possono reinstallare o riattivare il malware, garantendo accesso e controllo continui sui dispositivi compromessi per periodi prolungati.
- Danni alla reputazione e conseguenze legali : un attacco RAT riuscito può avere gravi ripercussioni per le vittime, tra cui danni alla reputazione, perdita di fiducia dei clienti e responsabilità legali. Le violazioni dei dati sensibili possono comportare sanzioni normative, azioni legali e altre conseguenze legali, esacerbando ulteriormente l’impatto reputazionale e finanziario sulle organizzazioni interessate.
In sintesi, le infezioni RAT rappresentano minacce significative per le vittime, che vanno dall’accesso non autorizzato e dal furto di dati alla compromissione del sistema, alla propagazione della rete e alla persistenza a lungo termine. Le misure proattive di sicurezza informatica, inclusi aggiornamenti regolari del software, una solida protezione degli endpoint, formazione sulla consapevolezza degli utenti e pianificazione della risposta agli incidenti, sono indispensabili per mitigare i rischi associati agli attacchi RAT.
