Дора КРЫСА
Связанный с Северной Кореей злоумышленник, известный как Andariel, был замечен в использовании нового бэкдора на базе Golang под названием Dora RAT в своих атаках, нацеленных на учебные заведения, производственные фирмы и строительные предприятия в Южной Корее. Для атак использовались кейлоггер, программа для кражи информации и прокси-инструменты поверх бэкдора. Злоумышленник, вероятно, использовал эти штаммы вредоносного ПО для контроля и кражи данных из зараженных систем.
Атаки характеризуются использованием уязвимого сервера Apache Tomcat для распространения вредоносного ПО, добавила южнокорейская фирма по кибербезопасности, отметив, что рассматриваемая система работала под управлением версии Apache Tomcat 2013 года, что делало ее уязвимой к нескольким уязвимостям.
Оглавление
Andariel APT — главный участник киберпреступлений
Андариэль , также известная под такими псевдонимами, как Никет Хаятт, Оникс Слит и Сайлент Чоллима, представляет собой группу Advanced PersistentThreat (APT), согласующуюся со стратегическими целями Северной Кореи, по крайней мере, с 2008 года.
Этот противник, входящий в обширную группу Lazarus Group , демонстрирует историю использования целевого фишинга, атак с использованием «водопоя» и использования известных уязвимостей программного обеспечения для получения первоначального доступа и распространения вредоносного ПО в целевых сетях.
Хотя подробности методологии атаки с использованием вредоносного ПО исследователи не раскрыли, было подчеркнуто, что использовался вариант известного вредоносного ПО Nestdoor. Этот вариант обладает функциями, позволяющими ему получать и выполнять команды с удаленного сервера, передавать файлы, запускать обратную оболочку, собирать данные буфера обмена и нажатия клавиш и работать в качестве прокси.
Andariel APT внедрил Dora RAT на взломанные устройства
В атаках использовался неизвестный бэкдор, известный как Dora RAT, ранее не документированный. Он характеризуется как простое вредоносное ПО с функциями обратной оболочки и возможностью передачи файлов.
Кроме того, злоумышленник использовал действительный сертификат для подписи и распространения вредоносного ПО Dora RAT. Подтверждения указывают на то, что некоторые штаммы Dora RAT, использованные в атаках, были подписаны законным сертификатом, выданным разработчику программного обеспечения в Соединенном Королевстве.
Среди множества штаммов вредоносного ПО, использованных в этих атаках, есть кейлоггер, внедренный в упрощенный вариант Nestdoor, а также специализированный компонент для кражи данных и прокси-инструмент SOCKS5, который имеет сходство с тем, который использовался Lazarus Group в ThreatNeedle 2021 года. кампания.
Группа Андариэль выделяется как одна из наиболее активных групп угроз, действующих в Корее, наряду с группами Кимсуки и Лазарь. Первоначально они были сосредоточены на сборе разведывательной информации, касающейся национальной безопасности, но затем расширили сферу своей деятельности, включив в нее нападения, мотивированные финансовыми соображениями.
Крысиные инфекции могут привести к разрушительным последствиям для жертв
Трояны удаленного доступа (RAT) могут нанести разрушительные последствия жертвам из-за своего навязчивого и скрытного характера. Вот почему:
- Несанкционированный доступ : RAT предоставляют злоумышленникам неограниченный доступ к зараженным системам. Этот доступ позволяет им удаленно выполнять команды, устанавливать или удалять программное обеспечение, изменять файлы и манипулировать настройками системы, что, по сути, дает им полный контроль над устройством жертвы.
- Кража данных и наблюдение : RAT часто включают в себя такие функции, как ведение журнала клавиатуры, захват экрана и захват веб-камеры, что позволяет злоумышленникам отслеживать действия жертв в режиме реального времени. Эта возможность наблюдения позволяет красть конфиденциальную информацию, включая пароли, финансовые данные, личные разговоры и интеллектуальную собственность.
- Компрометация системы : RAT могут поставить под угрозу целостность и функциональность зараженных систем. Злоумышленники могут отключить программное обеспечение безопасности, изменить конфигурации системы или даже развернуть дополнительные вредоносные программы, что приведет к нестабильности системы, повреждению данных и снижению производительности.
- Распространение и компрометация сети . RAT могут способствовать распространению вредоносного ПО внутри сети. После заражения одного устройства злоумышленники могут использовать скомпрометированную систему в качестве стартовой площадки для проникновения на другие подключенные устройства, серверы или компоненты инфраструктуры, что потенциально может привести к масштабному ущербу и сбоям.
- Долгосрочное сохранение : RAT предназначены для поддержания постоянного доступа к зараженным системам. Даже если первоначальные попытки обнаружения и удаления окажутся успешными, злоумышленники могут переустановить или повторно активировать вредоносное ПО, гарантируя постоянный доступ и контроль над скомпрометированными устройствами в течение длительного периода времени.
- Ущерб репутации и юридические последствия . Успешная RAT-атака может иметь серьезные последствия для жертв, включая ущерб их репутации, потерю доверия клиентов и юридическую ответственность. Нарушение конфиденциальных данных может привести к штрафам регулирующих органов, судебным искам и другим правовым последствиям, что еще больше усугубляет репутационные и финансовые последствия для пострадавших организаций.
Подводя итог, RAT-заражение представляет собой серьезную угрозу для жертв, начиная от несанкционированного доступа и кражи данных и заканчивая компрометацией системы, распространением вируса по сети и долговременным сохранением. Проактивные меры кибербезопасности, включая регулярные обновления программного обеспечения, надежную защиту конечных точек, обучение пользователей и планирование реагирования на инциденты, являются обязательными для снижения рисков, связанных с атаками RAT.
