Multi-License Discount Quote
Pangkalan Data Ancaman Remote Administration Tools Dora RAT

Dora RAT

Menjelang Mezo pada Remote Administration Tools, Advanced Persistent Threat (APT)
Terjemahkan ke
بهاس ملايو

Pelakon ancaman berkaitan Korea Utara yang dikenali sebagai Andariel telah diperhatikan menggunakan pintu belakang baharu berasaskan Golang yang dipanggil Dora RAT dalam serangannya yang menyasarkan institut pendidikan, firma pembuatan dan perniagaan pembinaan di Korea Selatan. Keylogger, infostealer dan alat proksi di bahagian atas pintu belakang telah digunakan untuk serangan. Aktor ancaman mungkin menggunakan jenis perisian hasad ini untuk mengawal dan mencuri data daripada sistem yang dijangkiti.

Serangan itu dicirikan oleh penggunaan pelayan Apache Tomcat yang terdedah untuk mengedarkan perisian hasad, tambah firma keselamatan siber Korea Selatan, sambil menyatakan sistem berkenaan menjalankan Apache Tomcat versi 2013, menjadikannya mudah terdedah kepada beberapa kelemahan.

APT Andariel ialah Pelakon Utama dalam Adegan Jenayah Siber

Andariel , juga dikenali dengan alias seperti Nicket Hyatt, Onyx Sleet dan Silent Chollima, membentuk kumpulan Advanced PersistentThreat (APT) yang sejajar dengan objektif strategik Korea Utara sejak sekurang-kurangnya 2008.

Sebuah puak dalam Kumpulan Lazarus yang meluas, musuh ini menunjukkan sejarah menggunakan pancingan lembing, serangan lubang air dan mengeksploitasi kelemahan perisian yang diketahui untuk mendapatkan akses awal dan menyebarkan perisian hasad merentasi rangkaian yang disasarkan.

Walaupun perincian mengenai metodologi serangan untuk penggunaan perisian hasad tidak didedahkan oleh penyelidik, ia telah diserlahkan bahawa varian perisian hasad Nestdoor yang telah ditetapkan telah digunakan. Varian ini mempunyai fungsi yang membolehkannya menerima dan melaksanakan arahan daripada pelayan jauh, memindahkan fail, memulakan cangkerang terbalik, mengumpul data papan keratan dan ketukan kekunci dan beroperasi sebagai proksi.

APT Andariel Menggunakan Dora RAT ke Peranti Yang Dikompromi

Serangan itu menggunakan pintu belakang yang tidak didedahkan yang dikenali sebagai Dora RAT, yang sebelum ini tidak didokumenkan. Ia dicirikan sebagai perisian hasad mudah dengan fungsi untuk operasi cangkerang terbalik dan keupayaan pemindahan fail.

Tambahan pula, penyerang telah menggunakan sijil yang sah untuk menandatangani dan mengedarkan perisian hasad Dora RAT. Pengesahan menunjukkan bahawa jenis tertentu Dora RAT yang digunakan dalam serangan telah ditandatangani dengan sijil sah yang dikeluarkan kepada pembangun perisian di United Kingdom.

Di antara pelbagai jenis malware yang digunakan dalam serangan ini, terdapat keylogger yang diperkenalkan melalui varian Nestdoor yang diperkemas, bersama-sama dengan komponen mencuri data khusus dan alat proksi SOCKS5 yang berkongsi persamaan dengan yang digunakan oleh Kumpulan Lazarus dalam ThreatNeedle 2021 kempen.

Kumpulan Andariel menonjol sebagai salah satu pelakon ancaman paling aktif yang beroperasi di Korea, bersama kumpulan Kimsuky dan Lazarus. Pada mulanya menumpukan pada pengumpulan risikan berkaitan keselamatan negara, mereka telah meluaskan skop mereka untuk memasukkan serangan yang bermotifkan kewangan.

Jangkitan RAT boleh membawa kepada akibat yang memusnahkan bagi mangsa

Trojan Akses Jauh (RAT) boleh mendatangkan kesan buruk kepada mangsa kerana sifatnya yang mengganggu dan rahsia. Inilah sebabnya:

  • Akses Tanpa Kebenaran : RAT memberikan penyerang akses tanpa had kepada sistem yang dijangkiti. Akses ini membolehkan mereka melaksanakan arahan, memasang atau menyahpasang perisian, mengubah suai fail dan memanipulasi tetapan sistem dari jauh, pada asasnya memberi mereka kawalan penuh ke atas peranti mangsa.
  • Kecurian dan Pengawasan Data : RAT selalunya termasuk ciri seperti pengelogan kekunci, tangkapan skrin dan rampasan kamera web, membenarkan penyerang memantau aktiviti mangsa dalam masa nyata. Keupayaan pengawasan ini membolehkan pencurian maklumat sensitif, termasuk kata laluan, data kewangan, perbualan peribadi dan harta intelek.
  • Kompromi Sistem : RAT boleh menjejaskan integriti dan kefungsian sistem yang dijangkiti. Penyerang boleh melumpuhkan perisian keselamatan, mengubah konfigurasi sistem, atau bahkan menggunakan muatan perisian hasad tambahan, yang membawa kepada ketidakstabilan sistem, rasuah data dan kehilangan produktiviti.
  • Penyebaran dan Kompromi Rangkaian : RAT boleh memudahkan penyebaran perisian hasad dalam rangkaian. Sebaik sahaja satu peranti dijangkiti, penyerang boleh menggunakan sistem yang terjejas sebagai pad pelancar untuk menyusup ke peranti, pelayan atau komponen infrastruktur lain yang bersambung, yang berpotensi menyebabkan kerosakan dan gangguan yang meluas.
  • Kegigihan Jangka Panjang : RAT direka bentuk untuk mengekalkan akses berterusan kepada sistem yang dijangkiti. Walaupun jika pengesanan awal dan percubaan mengalih keluar berjaya, penyerang boleh memasang semula atau mengaktifkan semula perisian hasad, memastikan akses dan kawalan berterusan ke atas peranti yang terjejas untuk tempoh yang lama.
  • Kerosakan Reputasi dan Akibat Undang-undang : Serangan RAT yang berjaya boleh mendatangkan kesan yang teruk kepada mangsa, termasuk kerosakan pada reputasi mereka, kehilangan kepercayaan pelanggan dan liabiliti undang-undang. Pelanggaran data sensitif boleh mengakibatkan denda kawal selia, tindakan undang-undang dan akibat undang-undang lain, seterusnya memburukkan lagi kesan reputasi dan kewangan ke atas organisasi yang terjejas.

Ringkasnya, jangkitan RAT menimbulkan ancaman yang ketara kepada mangsa, daripada akses tanpa kebenaran dan kecurian data kepada kompromi sistem, penyebaran rangkaian dan kegigihan jangka panjang. Langkah keselamatan siber yang proaktif, termasuk kemas kini perisian biasa, perlindungan titik akhir yang mantap, latihan kesedaran pengguna dan perancangan tindak balas insiden, adalah mesti dilakukan untuk mengurangkan risiko yang berkaitan dengan serangan RAT.

Trending

Paling banyak dilihat

Memuatkan...