Dorota Szczur

Zaobserwowano, że powiązany z Koreą Północną ugrupowanie cyberprzestępcze znane jako Andariel wykorzystuje nowego backdoora o nazwie Dora RAT z siedzibą w Golang w swoich atakach wymierzonych w instytucje edukacyjne, firmy produkcyjne i przedsiębiorstwa budowlane w Korei Południowej. Do ataków wykorzystano keylogger, kradzież informacji i narzędzia proxy znajdujące się na backdoorze. Osoba zagrażająca prawdopodobnie wykorzystała te odmiany szkodliwego oprogramowania do kontrolowania i kradzieży danych z zainfekowanych systemów.

Ataki charakteryzują się wykorzystaniem podatnego na ataki serwera Apache Tomcat do dystrybucji szkodliwego oprogramowania – dodała południowokoreańska firma zajmująca się cyberbezpieczeństwem, zauważając, że w omawianym systemie działała wersja Apache Tomcat z 2013 r., co czyniło go podatnym na kilka luk w zabezpieczeniach.

Andariel APT jest głównym aktorem na scenie cyberprzestępczości

Andariel , znana również pod pseudonimami takimi jak Nicket Hyatt, Onyx Sleet i Silent Chollima, stanowi grupę Advanced Persistent Threat (APT) zgodną ze strategicznymi celami Korei Północnej co najmniej od 2008 roku.

Przeciwnik ten, należący do rozległej Grupy Lazarus , może pochwalić się historią stosowania spear-phishingu, ataków watering hole i wykorzystywania znanych luk w zabezpieczeniach oprogramowania w celu uzyskania początkowego dostępu i rozpowszechniania złośliwego oprogramowania w docelowych sieciach.

Chociaż badacze nie ujawnili szczegółów dotyczących metodologii ataku związanego z wdrażaniem złośliwego oprogramowania, podkreślono, że wykorzystano wariant uznanego szkodliwego oprogramowania Nestdoor. Wariant ten posiada funkcje umożliwiające odbieranie i wykonywanie poleceń ze zdalnego serwera, przesyłanie plików, inicjowanie powłoki zwrotnej, zbieranie danych ze schowka i naciśnięć klawiszy oraz działanie jako serwer proxy.

Andariel APT umieścił Dora RAT na zainfekowanych urządzeniach

W atakach wykorzystano nieujawnionego backdoora znanego jako Dora RAT, wcześniej nieudokumentowanego. Charakteryzuje się prostym złośliwym oprogramowaniem z funkcjami umożliwiającymi operacje odwrotnej powłoki i możliwością przesyłania plików.

Co więcej, osoba atakująca wykorzystała ważny certyfikat do podpisywania i rozpowszechniania szkodliwego oprogramowania Dora RAT. Potwierdzenia wskazują, że niektóre szczepy Dora RAT użyte w atakach zostały podpisane legalnym certyfikatem wydanym twórcy oprogramowania w Wielkiej Brytanii.

Wśród różnych odmian złośliwego oprogramowania wykorzystywanych w tych atakach znajduje się keylogger wprowadzany za pośrednictwem usprawnionej wersji Nestdoor, wraz ze specjalistycznym komponentem kradnącym dane i narzędziem proxy SOCKS5, które jest podobne do narzędzia wykorzystywanego przez Grupę Lazarus w raporcie ThreatNeedle z 2021 r. kampania.

Grupa Andariel wyróżnia się jako jeden z najaktywniejszych ugrupowań zagrażających działającym w Korei, obok grup Kimsuky i Lazarus. Początkowo skupiały się na gromadzeniu informacji wywiadowczych dotyczących bezpieczeństwa narodowego, rozszerzyły swój zakres o ataki o charakterze finansowym.

Zakażenia szczurami mogą mieć druzgocące konsekwencje dla ofiar

Trojany zdalnego dostępu (RAT) mogą mieć druzgocące konsekwencje dla ofiar ze względu na ich natrętny i tajny charakter. Dlatego:

• Nieautoryzowany dostęp : RAT zapewniają atakującym nieograniczony dostęp do zainfekowanych systemów. Dostęp ten umożliwia im wykonywanie poleceń, instalowanie lub odinstalowywanie oprogramowania, modyfikowanie plików i zdalne manipulowanie ustawieniami systemu, co zasadniczo daje im pełną kontrolę nad urządzeniem ofiary.
• Kradzież danych i nadzór : RAT często zawierają takie funkcje, jak rejestrowanie klawiszy, przechwytywanie ekranu i przejmowanie kamer internetowych, umożliwiając atakującym monitorowanie działań ofiar w czasie rzeczywistym. Ta funkcja nadzoru umożliwia kradzież poufnych informacji, w tym haseł, danych finansowych, rozmów osobistych i własności intelektualnej.
• Kompromis systemu : RAT mogą zagrozić integralności i funkcjonalności zainfekowanych systemów. Osoby atakujące mogą wyłączyć oprogramowanie zabezpieczające, zmienić konfigurację systemu, a nawet wdrożyć dodatkowe ładunki złośliwego oprogramowania, co prowadzi do niestabilności systemu, uszkodzenia danych i utraty produktywności.
• Propagacja i zagrożenia sieciowe : RAT mogą ułatwiać rozprzestrzenianie się złośliwego oprogramowania w sieci. Po zainfekowaniu pojedynczego urządzenia osoby atakujące mogą wykorzystać zaatakowany system jako platformę startową do infiltracji innych podłączonych urządzeń, serwerów lub elementów infrastruktury, potencjalnie powodując rozległe szkody i zakłócenia.
• Trwałość długoterminowa : RAT są zaprojektowane tak, aby utrzymywać stały dostęp do zainfekowanych systemów. Nawet jeśli początkowe próby wykrycia i usunięcia zakończą się pomyślnie, osoby atakujące mogą ponownie zainstalować lub ponownie aktywować złośliwe oprogramowanie, zapewniając ciągły dostęp i kontrolę nad zaatakowanymi urządzeniami przez dłuższy czas.
• Uszkodzenie reputacji i konsekwencje prawne : Udany atak RAT może mieć poważne konsekwencje dla ofiar, w tym uszczerbek na ich reputacji, utratę zaufania klientów i zobowiązania prawne. Naruszenie wrażliwych danych może skutkować karami regulacyjnymi, procesami sądowymi i innymi konsekwencjami prawnymi, dodatkowo pogarszając wpływ na reputację i finanse dotkniętych organizacji.

Podsumowując, infekcje RAT stwarzają poważne zagrożenia dla ofiar, począwszy od nieautoryzowanego dostępu i kradzieży danych po naruszenie bezpieczeństwa systemu, rozprzestrzenianie się sieci i długoterminową trwałość. Proaktywne środki bezpieczeństwa cybernetycznego, w tym regularne aktualizacje oprogramowania, solidna ochrona punktów końcowych, szkolenia zwiększające świadomość użytkowników i planowanie reakcji na incydenty, są niezbędne, aby ograniczyć ryzyko związane z atakami RAT.