Multi-License Discount Quote
Banco de Dados de Ameaças Remote Administration Tools Dora RAT

Dora RAT

Por Mezo em Remote Administration Tools, Advanced Persistent Threat (APT)
Traduzir Para:
Português

Um autor de ameaças ligado à Coreia do Norte, conhecido como Andariel, foi observado usando um novo backdoor baseado em Golang chamado Dora RAT em seus ataques contra institutos educacionais, empresas de manufatura e empresas de construção na Coreia do Sul. Keylogger, infostealer e ferramentas de proxy no backdoor foram utilizadas para os ataques. O ator da ameaça provavelmente usou essas variedades de malware para controlar e roubar dados dos sistemas infectados.

Os ataques são caracterizados pelo uso de um servidor Apache Tomcat vulnerável para distribuir o malware, acrescentou a empresa sul-coreana de segurança cibernética, observando que o sistema em questão executava a versão 2013 do Apache Tomcat, tornando-o suscetível a diversas vulnerabilidades.

O Andariel APT é um Componente Importante no Cenário do Crime Cibernético

O Andariel, também conhecido por pseudônimos como Nicket Hyatt, Onyx Sleet e Silent Chollima, constitui um grupo Advanced PersistentThreat (APT) alinhado com os objetivos estratégicos da Coreia do Norte desde pelo menos 2008.

Uma facção dentro do extenso Grupo Lazarus, esse adversário demonstra um histórico de emprego de spear-phishing, ataques watering hole e exploração de vulnerabilidades de software conhecidas para obter acesso inicial e disseminar malware em redes direcionadas.

Embora os detalhes sobre a metodologia de ataque para implantação de malware não tenham sido divulgados pelos pesquisadores, foi destacado que foi utilizada uma variante do malware Nestdoor estabelecido. Esta variante possui funcionalidades que permitem receber e executar comandos de um servidor remoto, transferir arquivos, iniciar um shell reverso, coletar dados da área de transferência e pressionamentos de teclas e operar como proxy.

O Andariel APT Implantou o Dora RAT nos Dispositivos Comprometidos

Os ataques empregaram um backdoor não revelado conhecido como Dora RAT, anteriormente não documentado. É caracterizado como um malware simples, com funcionalidades para operações reversas de shell e recursos de transferência de arquivos.

Além disso, o invasor utilizou um certificado válido para assinar e distribuir o malware Dora RAT. As confirmações indicam que certas cepas do Dora RAT usadas nos ataques foram assinadas com um certificado legítimo emitido para um desenvolvedor de software no Reino Unido.

Entre a variedade de tipos de malware implantados nesses ataques, há um keylogger introduzido por meio de uma variante simplificada do Nestdoor, junto com um componente especializado em roubo de dados e uma ferramenta proxy SOCKS5 que compartilha semelhanças com aquela utilizada pelo Grupo Lazarus no ThreatNeedle 2021. campanha.

O grupo Andariel destaca-se como um dos atores de ameaças mais ativos que operam na Coreia, ao lado dos grupos Kimsuky e Lazarus. Inicialmente centrados na recolha de informações relativas à segurança nacional, expandiram o seu âmbito para incluir ataques com motivação financeira.

As Infecções por RATs podem Levar a Consequêncas Devastadoras para as Vítimas

Os Trojans de Acesso Remoto (RATs) podem infligir consequências devastadoras às vítimas devido à sua natureza intrusiva e clandestina. Aqui está o porquê:

  • Acesso não autorizado : Os RATs concedem aos invasores acesso irrestrito aos sistemas infectados. Este acesso permite-lhes executar comandos, instalar ou desinstalar software, modificar ficheiros e manipular configurações do sistema remotamente, essencialmente dando-lhes controlo total sobre o dispositivo da vítima.
  • Roubo e vigilância de dados : Os RATs geralmente incluem recursos como keylogging, captura de tela e sequestro de webcam, permitindo que os invasores monitorem as atividades das vítimas em tempo real. Esta capacidade de vigilância permite o roubo de informações confidenciais, incluindo senhas, dados financeiros, conversas pessoais e propriedade intelectual.
  • Comprometimento do sistema : Os RATs podem comprometer a integridade e a funcionalidade dos sistemas infectados. Os invasores podem desabilitar software de segurança, alterar configurações do sistema ou até mesmo implantar cargas adicionais de malware, levando à instabilidade do sistema, corrupção de dados e perda de produtividade.
  • Propagação e comprometimento da rede : Os RATs podem facilitar a propagação de malware dentro de uma rede. Depois que um único dispositivo é infectado, os invasores podem usar o sistema comprometido como plataforma de lançamento para se infiltrar em outros dispositivos, servidores ou componentes de infraestrutura conectados, causando potencialmente danos e interrupções generalizadas.
  • Persistência de longo prazo : Os RATs são projetados para manter o acesso persistente aos sistemas infectados. Mesmo que as tentativas iniciais de detecção e remoção sejam bem-sucedidas, os invasores poderão reinstalar ou reativar o malware, garantindo acesso e controle contínuos sobre os dispositivos comprometidos por longos períodos.
  • Danos à reputação e consequências legais : Um ataque RAT bem-sucedido pode ter graves repercussões para as vítimas, incluindo danos à sua reputação, perda de confiança do cliente e responsabilidades legais. As violações de dados confidenciais podem resultar em multas regulatórias, ações judiciais e outras consequências legais, exacerbando ainda mais o impacto reputacional e financeiro nas organizações afetadas.

Em resumo, as infecções por RAT representam ameaças significativas às vítimas, desde acesso não autorizado e roubo de dados até comprometimento do sistema, propagação de rede e persistência a longo prazo. Medidas proativas de segurança cibernética, incluindo atualizações regulares de software, proteção robusta de endpoints, treinamento de conscientização do usuário e planejamento de resposta a incidentes, são essenciais para mitigar os riscos associados aos ataques RAT.

Tendendo

Mais visto

Carregando...