Multi-License Discount Quote
Databáza hrozieb Remote Administration Tools Dora RAT

Dora RAT

Do roku Mezo v roku Remote Administration Tools, Advanced Persistent Threat (APT)
Preložiť do:
Slovenčina

Aktér hrozby spojený so Severnou Kóreou, známy ako Andariel, bol pozorovaný, ako používa nové zadné vrátka so sídlom v Golangu s názvom Dora RAT pri svojich útokoch zameraných na vzdelávacie inštitúty, výrobné firmy a stavebné podniky v Južnej Kórei. Na útoky sa použili keylogger, infostealer a proxy nástroje na vrchu zadných vrátok. Aktér hrozby pravdepodobne použil tieto kmene malvéru na kontrolu a krádež údajov z infikovaných systémov.

Útoky sú charakterizované použitím zraniteľného servera Apache Tomcat na distribúciu malvéru, dodala juhokórejská firma zaoberajúca sa kybernetickou bezpečnosťou a poznamenala, že príslušný systém prevádzkoval verziu Apache Tomcat z roku 2013, vďaka čomu je náchylný na niekoľko zraniteľností.

Andariel APT je hlavným aktérom na scéne počítačovej kriminality

Andariel , známy aj pod prezývkami ako Nicket Hyatt, Onyx Sleet a Silent Chollima, predstavuje skupinu Advanced PersistentThreat (APT), ktorá je v súlade so strategickými cieľmi Severnej Kórey minimálne od roku 2008.

Frakcia v rámci rozsiahlej skupiny Lazarus Group , tento protivník demonštruje históriu využívania spear-phishingu, útokov typu watering hole a využívania známych zraniteľností softvéru na získanie počiatočného prístupu a šírenia škodlivého softvéru v cieľových sieťach.

Zatiaľ čo špecifiká týkajúce sa metodológie útoku na nasadenie malvéru výskumníci nezverejnili, bolo zdôraznené, že bol použitý variant zavedeného malvéru Nestdoor. Tento variant má funkcie, ktoré mu umožňujú prijímať a vykonávať príkazy zo vzdialeného servera, prenášať súbory, spúšťať spätný shell, zhromažďovať údaje zo schránky a stlačenia klávesov a fungovať ako proxy.

Andariel APT nasadil Dora RAT na kompromitované zariadenia

Útoky využívali nezverejnené zadné vrátka známe ako Dora RAT, predtým nezdokumentované. Je charakterizovaný ako jednoduchý malvér s funkciami pre spätné operácie shellu a schopnosťami prenosu súborov.

Okrem toho útočník použil platný certifikát na podpísanie a distribúciu malvéru Dora RAT. Potvrdenia naznačujú, že určité kmene Dora RAT použité pri útokoch boli podpísané legitímnym certifikátom vydaným vývojárovi softvéru v Spojenom kráľovstve.

Medzi sortimentom malvérových kmeňov nasadených pri týchto útokoch je keylogger predstavený prostredníctvom zjednodušeného variantu Nestdoor, spolu so špecializovaným komponentom na kradnutie údajov a proxy nástrojom SOCKS5, ktorý zdieľa podobnosti s nástrojom používaným skupinou Lazarus v roku 2021 ThreatNeedle . kampaň.

Skupina Andariel vyniká ako jeden z najaktívnejších aktérov hrozieb pôsobiacich v Kórei spolu so skupinami Kimsuky a Lazarus. Spočiatku sa zameriavali na zhromažďovanie spravodajských informácií týkajúcich sa národnej bezpečnosti, ale rozšírili svoju pôsobnosť aj na finančne motivované útoky.

Infekcie RAT by mohli viesť k ničivým následkom pre obete

Trójske kone so vzdialeným prístupom (RAT) môžu obetiam spôsobiť ničivé následky kvôli ich rušivému a tajnému charakteru. Tu je dôvod:

  • Neoprávnený prístup : RAT poskytujú útočníkom neobmedzený prístup k infikovaným systémom. Tento prístup im umožňuje vykonávať príkazy, inštalovať alebo odinštalovať softvér, upravovať súbory a manipulovať s nastaveniami systému na diaľku, čo im v podstate dáva plnú kontrolu nad zariadením obete.
  • Krádež údajov a sledovanie : RAT často obsahujú funkcie, ako je zaznamenávanie kláves, snímanie obrazovky a únos webovej kamery, čo umožňuje útočníkom monitorovať aktivity obetí v reálnom čase. Táto funkcia sledovania umožňuje krádež citlivých informácií vrátane hesiel, finančných údajov, osobných rozhovorov a duševného vlastníctva.
  • Kompromis systému : RAT môžu ohroziť integritu a funkčnosť infikovaných systémov. Útočníci môžu deaktivovať bezpečnostný softvér, zmeniť konfiguráciu systému alebo dokonca nasadiť ďalšie užitočné zaťaženie škodlivého softvéru, čo vedie k nestabilite systému, poškodeniu údajov a strate produktivity.
  • Propagácia a kompromis siete : RAT môžu uľahčiť šírenie malvéru v rámci siete. Akonáhle je jedno zariadenie infikované, útočníci môžu použiť napadnutý systém ako štartovací panel na infiltráciu iných pripojených zariadení, serverov alebo komponentov infraštruktúry, čo môže spôsobiť rozsiahle škody a narušenie.
  • Dlhodobá perzistencia : RAT sú navrhnuté na udržanie trvalého prístupu k infikovaným systémom. Aj keď sú počiatočné pokusy o detekciu a odstránenie úspešné, útočníci môžu znova nainštalovať alebo aktivovať malvér, čím sa zabezpečí nepretržitý prístup a kontrola nad napadnutými zariadeniami na dlhé obdobia.
  • Poškodenie dobrej povesti a právne dôsledky : Úspešný útok RAT môže mať vážne následky pre obete, vrátane poškodenia ich reputácie, straty dôvery zákazníkov a právnej zodpovednosti. Porušenie citlivých údajov môže viesť k regulačným pokutám, súdnym sporom a iným právnym následkom, čo ešte viac zhorší reputáciu a finančný dopad dotknutých organizácií.

Stručne povedané, infekcie RAT predstavujú významné hrozby pre obete, od neoprávneného prístupu a krádeže údajov až po kompromitáciu systému, šírenie siete a dlhodobé pretrvávanie. Proaktívne opatrenia kybernetickej bezpečnosti, vrátane pravidelných aktualizácií softvéru, robustnej ochrany koncových bodov, školenia informovanosti používateľov a plánovania reakcie na incidenty, sú nevyhnutné na zmiernenie rizík spojených s útokmi RAT.

Trendy

Najviac videné

Načítava...