Dora RAT
Actorul de amenințări legat de Coreea de Nord, cunoscut sub numele de Andariel, a fost observat folosind o nouă ușă din spate din Golang, numită Dora RAT, în atacurile sale care vizează instituții de învățământ, firme de producție și întreprinderi de construcții din Coreea de Sud. Keylogger, infostealer și instrumente proxy de deasupra ușii din spate au fost utilizate pentru atacuri. Actorul amenințărilor a folosit probabil aceste tulpini de malware pentru a controla și a fura date din sistemele infectate.
Atacurile sunt caracterizate prin utilizarea unui server vulnerabil Apache Tomcat pentru a distribui malware-ul, a adăugat firma sud-coreeană de securitate cibernetică, menționând că sistemul în cauză rula versiunea 2013 a Apache Tomcat, făcându-l susceptibil la mai multe vulnerabilități.
Cuprins
Andariel APT este un actor major în scena crimei cibernetice
Andariel , cunoscut și sub pseudonime precum Nicket Hyatt, Onyx Sleet și Silent Chollima, constituie un grup Advanced Persistent Threat (APT) aliniat cu obiectivele strategice ale Coreei de Nord cel puțin din 2008.
O facțiune din cadrul extinsului Lazarus Group , acest adversar demonstrează o istorie de folosire a spear-phishing, atacuri de udare și de exploatare a vulnerabilităților software cunoscute pentru a obține accesul inițial și a disemina malware în rețelele vizate.
Deși detaliile referitoare la metodologia de atac pentru implementarea programelor malware nu au fost dezvăluite de către cercetători, a fost evidențiat că a fost utilizată o variantă a malware-ului Nestdoor. Această variantă are funcționalități care îi permit să primească și să execute comenzi de la un server la distanță, să transfere fișiere, să inițieze un shell invers, să colecteze date din clipboard și apăsări de taste și să opereze ca proxy.
Andariel APT a implementat Dora RAT pe dispozitive compromise
Atacurile au folosit o ușă din spate nedezvăluită, cunoscută sub numele de Dora RAT, nedocumentată anterior. Este caracterizat ca malware simplu, cu funcționalități pentru operațiuni inverse shell și capabilități de transfer de fișiere.
Mai mult, atacatorul a folosit un certificat valid pentru a semna și distribui malware-ul Dora RAT. Confirmările indică faptul că anumite tulpini ale Dora RAT utilizate în atacuri au fost semnate cu un certificat legitim eliberat unui dezvoltator de software din Regatul Unit.
Printre sortimentul de tulpini de malware desfășurate în aceste atacuri, există un keylogger introdus printr-o variantă simplificată a Nestdoor, împreună cu o componentă specializată de furt de date și un instrument proxy SOCKS5 care împărtășește asemănări cu unul utilizat de Lazarus Group în ThreatNeedle 2021. campanie.
Grupul Andariel se remarcă ca unul dintre cei mai activi actori de amenințare care operează în Coreea, alături de grupurile Kimsuky și Lazarus. Axați inițial pe colectarea informațiilor privind securitatea națională, aceștia și-au extins domeniul de aplicare pentru a include atacuri motivate financiar.
Infecțiile cu RAT ar putea duce la consecințe devastatoare pentru victime
Troienii cu acces la distanță (RAT) pot provoca consecințe devastatoare asupra victimelor datorită naturii lor intruzive și clandestine. Iata de ce:
- Acces neautorizat : RAT-urile acordă atacatorilor acces nerestricționat la sistemele infectate. Acest acces le permite să execute comenzi, să instaleze sau să dezinstaleze software, să modifice fișiere și să manipuleze setările sistemului de la distanță, oferindu-le în esență control deplin asupra dispozitivului victimei.
- Furtul de date și supravegherea : RAT-urile includ adesea funcții precum înregistrarea tastelor, capturarea ecranului și deturnarea camerei web, permițând atacatorilor să monitorizeze activitățile victimelor în timp real. Această capacitate de supraveghere permite furtul de informații sensibile, inclusiv parole, date financiare, conversații personale și proprietate intelectuală.
- Compromis de sistem : RAT-urile pot compromite integritatea și funcționalitatea sistemelor infectate. Atacatorii pot dezactiva software-ul de securitate, pot modifica configurațiile sistemului sau chiar pot implementa încărcături suplimentare de malware, ceea ce duce la instabilitatea sistemului, coruperea datelor și pierderea productivității.
- Propagare și compromis în rețea : RAT-urile pot facilita răspândirea programelor malware în cadrul unei rețele. Odată ce un singur dispozitiv este infectat, atacatorii pot folosi sistemul compromis ca platformă de lansare pentru a se infiltra în alte dispozitive conectate, servere sau componente ale infrastructurii, provocând potențial daune și întreruperi pe scară largă.
- Persistență pe termen lung : RAT-urile sunt concepute pentru a menține accesul persistent la sistemele infectate. Chiar dacă încercările inițiale de detectare și eliminare au succes, atacatorii pot reinstala sau reactiva malware-ul, asigurând accesul și controlul continuu asupra dispozitivelor compromise pentru perioade lungi.
- Daune reputației și consecințe juridice : Un atac RAT de succes poate avea repercusiuni grave asupra victimelor, inclusiv deteriorarea reputației acestora, pierderea încrederii clienților și răspunderea legală. Încălcarea datelor sensibile poate duce la amenzi de reglementare, procese și alte consecințe legale, exacerbând și mai mult impactul reputațional și financiar asupra organizațiilor afectate.
În rezumat, infecțiile RAT reprezintă amenințări semnificative pentru victime, variind de la acces neautorizat și furtul de date până la compromiterea sistemului, propagarea rețelei și persistența pe termen lung. Măsurile proactive de securitate cibernetică, inclusiv actualizări regulate ale software-ului, protecție robustă a punctelor finale, instruire pentru conștientizarea utilizatorilor și planificarea răspunsului la incidente, sunt obligatorii pentru a atenua riscurile asociate cu atacurile RAT.
