Multi-License Discount Quote
Trusseldatabase Remote Administration Tools Dora RAT

Dora RAT

Med Mezo i Remote Administration Tools, Advanced Persistent Threat (APT)
Oversett til:
Norsk

Den Nord-Korea-tilknyttede trusselaktøren kjent som Andariel har blitt observert ved å bruke en ny Golang-basert bakdør kalt Dora RAT i sine angrep rettet mot utdanningsinstitusjoner, produksjonsfirmaer og byggevirksomheter i Sør-Korea. Keylogger, infostealer og proxy-verktøy på toppen av bakdøren ble brukt for angrepene. Trusselaktøren brukte sannsynligvis disse skadevarestammene til å kontrollere og stjele data fra de infiserte systemene.

Angrepene er preget av bruk av en sårbar Apache Tomcat-server for å distribuere skadelig programvare, la det sørkoreanske cybersikkerhetsfirmaet til, og bemerket at det aktuelle systemet kjørte 2013-versjonen av Apache Tomcat, noe som gjør det utsatt for flere sårbarheter.

Andariel APT er en storskuespiller i nettkriminalitetsscenen

Andariel , også kjent under aliaser som Nicket Hyatt, Onyx Sleet og Silent Chollima, utgjør en Advanced PersistentThreat (APT)-gruppe på linje med Nord-Koreas strategiske mål siden minst 2008.

Denne motstanderen, som er en fraksjon i den omfattende Lazarus-gruppen , demonstrerer en historie med bruk av spyd-phishing, vannhullsangrep og utnyttelse av kjente programvaresårbarheter for å få innledende tilgang og spre skadevare på tvers av målrettede nettverk.

Selv om detaljer angående angrepsmetodikken for distribusjon av skadelig programvare ikke ble avslørt av forskere, ble det fremhevet at en variant av den etablerte Nestdoor malware ble brukt. Denne varianten har funksjoner som gjør at den kan motta og utføre kommandoer fra en ekstern server, overføre filer, starte et omvendt skall, samle utklippstavledata og tastetrykk og fungere som en proxy.

Andariel APT distribuerte Dora RAT til kompromitterte enheter

Angrepene brukte en ikke avslørt bakdør kjent som Dora RAT, tidligere udokumentert. Den er karakterisert som enkel skadelig programvare med funksjoner for omvendte skalloperasjoner og filoverføringsmuligheter.

Videre har angriperen brukt et gyldig sertifikat for å signere og distribuere Dora RAT-malware. Bekreftelser indikerer at visse stammer av Dora RAT brukt i angrepene ble signert med et legitimt sertifikat utstedt til en programvareutvikler i Storbritannia.

Blant utvalget av malware-stammer som er utplassert i disse angrepene, er det en keylogger introdusert gjennom en strømlinjeformet variant av Nestdoor, sammen med en spesialisert komponent for datatyveri og et SOCKS5 proxy-verktøy som deler likheter med et som ble brukt av Lazarus Group i 2021 ThreatNeedle kampanje.

Andariel-gruppen skiller seg ut som en av de mest aktive trusselaktørene som opererer i Korea, sammen med Kimsuky- og Lazarus-gruppene. Opprinnelig fokusert på å samle etterretning om nasjonal sikkerhet, har de utvidet omfanget til å omfatte økonomisk motiverte angrep.

ROTTE-infeksjoner kan føre til ødeleggende konsekvenser for ofre

Remote Access Trojans (RATs) kan påføre ofre ødeleggende konsekvenser på grunn av deres påtrengende og hemmelige natur. Her er hvorfor:

  • Uautorisert tilgang : RAT-er gir angripere ubegrenset tilgang til infiserte systemer. Denne tilgangen gjør dem i stand til å utføre kommandoer, installere eller avinstallere programvare, endre filer og manipulere systeminnstillinger eksternt, noe som i hovedsak gir dem full kontroll over offerets enhet.
  • Datatyveri og overvåking : RAT-er inkluderer ofte funksjoner som tastelogging, skjermfangst og kamerakapring, slik at angripere kan overvåke ofrenes aktiviteter i sanntid. Denne overvåkingsfunksjonen muliggjør tyveri av sensitiv informasjon, inkludert passord, økonomiske data, personlige samtaler og åndsverk.
  • Systemkompromiss : RAT-er kan kompromittere integriteten og funksjonaliteten til infiserte systemer. Angripere kan deaktivere sikkerhetsprogramvare, endre systemkonfigurasjoner eller til og med distribuere ytterligere skadelig programvare, noe som fører til systemustabilitet, datakorrupsjon og tap av produktivitet.
  • Utbredelse og nettverkskompromiss : RAT-er kan lette spredningen av skadelig programvare i et nettverk. Når en enkelt enhet er infisert, kan angripere bruke det kompromitterte systemet som en startrampe for å infiltrere andre tilkoblede enheter, servere eller infrastrukturkomponenter, og potensielt forårsake omfattende skader og forstyrrelser.
  • Langsiktig persistens : RAT-er er designet for å opprettholde vedvarende tilgang til infiserte systemer. Selv om innledende gjenkjenning og fjerningsforsøk lykkes, kan angripere installere eller reaktivere skadelig programvare, og sikre fortsatt tilgang og kontroll over kompromitterte enheter i lengre perioder.
  • Skade på omdømme og juridiske konsekvenser : Et vellykket RAT-angrep kan ha alvorlige konsekvenser for ofrene, inkludert skade på deres omdømme, tap av kundetillit og juridiske forpliktelser. Brudd på sensitive data kan resultere i regulatoriske bøter, søksmål og andre juridiske konsekvenser, noe som ytterligere forverrer omdømmet og den økonomiske innvirkningen på berørte organisasjoner.

Oppsummert utgjør RAT-infeksjoner betydelige trusler mot ofre, alt fra uautorisert tilgang og datatyveri til systemkompromittering, nettverksutbredelse og langsiktig utholdenhet. Proaktive cybersikkerhetstiltak, inkludert regelmessige programvareoppdateringer, robust endepunktbeskyttelse, opplæring i brukerbevissthet og planlegging av hendelsesrespons, er must-dos for å redusere risikoen forbundet med RAT-angrep.

Trender

Mest sett

Laster inn...