Multi-License Discount Quote
Podjetje o grožnjah Remote Administration Tools Dora RAT

Dora RAT

Do leta Mezo leta Remote Administration Tools, Advanced Persistent Threat (APT)
Prevedi v:
Slovenščina

Grožnja, povezana s Severno Korejo, znana kot Andariel, je bila opažena pri napadih na izobraževalne inštitute, proizvodna podjetja in gradbena podjetja v Južni Koreji, ki uporablja nova stranska vrata s sedežem v Golangu, imenovano Dora RAT. Za napade so bili uporabljeni keylogger, infostealer in proxy orodja na vrhu backdoorja. Dejalnik grožnje je verjetno uporabil te vrste zlonamerne programske opreme za nadzor in krajo podatkov iz okuženih sistemov.

Za napade je značilna uporaba ranljivega strežnika Apache Tomcat za distribucijo zlonamerne programske opreme, je dodalo južnokorejsko podjetje za kibernetsko varnost in opozorilo, da je zadevni sistem izvajal različico Apache Tomcat iz leta 2013, zaradi česar je dovzeten za več ranljivosti.

Andariel APT je glavni akter na prizorišču kibernetske kriminalitete

Andariel , znan tudi pod vzdevki, kot so Nicket Hyatt, Onyx Sleet in Silent Chollima, sestavlja skupino Advanced PersistentThreat (APT), ki je usklajena s strateškimi cilji Severne Koreje vsaj od leta 2008.

Ta nasprotnik, ki je frakcija znotraj obsežne skupine Lazarus Group , dokazuje zgodovino uporabe lažnega predstavljanja, napadov z zalivanjem in izkoriščanja znanih ranljivosti programske opreme za pridobitev začetnega dostopa in širjenje zlonamerne programske opreme po ciljnih omrežjih.

Medtem ko raziskovalci niso razkrili posebnosti v zvezi z metodologijo napada za uvajanje zlonamerne programske opreme, je bilo poudarjeno, da je bila uporabljena različica uveljavljene zlonamerne programske opreme Nestdoor. Ta različica ima funkcije, ki ji omogočajo sprejemanje in izvajanje ukazov z oddaljenega strežnika, prenos datotek, zagon povratne lupine, zbiranje podatkov iz odložišča in pritiskov tipk ter delovanje kot proxy.

Andariel APT je namestil Dora RAT na ogrožene naprave

Napadi so uporabili nerazkrita stranska vrata, znana kot Dora RAT, ki prej niso bila dokumentirana. Označena je kot preprosta zlonamerna programska oprema s funkcijami za obratne operacije lupine in zmožnostmi prenosa datotek.

Poleg tega je napadalec uporabil veljavno potrdilo za podpis in distribucijo zlonamerne programske opreme Dora RAT. Potrditve kažejo, da so bili nekateri sevi Dora RAT, uporabljeni v napadih, podpisani z zakonitim potrdilom, izdanim razvijalcu programske opreme v Združenem kraljestvu.

Med naborom vrst zlonamerne programske opreme, uporabljenih v teh napadih, je zapisovalnik tipk, uveden prek poenostavljene različice Nestdoorja, skupaj s specializirano komponento za krajo podatkov in proxy orodjem SOCKS5, ki je podobno tistemu, ki ga je uporabila skupina Lazarus Group v letu 2021 ThreatNeedle . kampanja.

Skupina Andariel izstopa kot eden najbolj aktivnih akterjev groženj, ki delujejo v Koreji, poleg skupin Kimsuky in Lazarus. Sprva so bili osredotočeni na zbiranje obveščevalnih podatkov v zvezi z nacionalno varnostjo, nato pa so razširili svoj obseg na finančno motivirane napade.

Okužbe s PODGANAMI bi lahko povzročile uničujoče posledice za žrtve

Trojanci z oddaljenim dostopom (RAT) lahko povzročijo uničujoče posledice žrtvam zaradi svoje vsiljive in skrivne narave. Evo zakaj:

  • Nepooblaščen dostop : RAT napadalcem omogočijo neomejen dostop do okuženih sistemov. Ta dostop jim omogoča izvajanje ukazov, namestitev ali odstranitev programske opreme, spreminjanje datotek in upravljanje sistemskih nastavitev na daljavo, kar jim v bistvu daje popoln nadzor nad žrtvino napravo.
  • Kraja podatkov in nadzor : RAT pogosto vključujejo funkcije, kot so zapisovanje tipk, zajem zaslona in ugrabitev spletne kamere, kar napadalcem omogoča spremljanje dejavnosti žrtev v realnem času. Ta zmožnost nadzora omogoča krajo občutljivih informacij, vključno z gesli, finančnimi podatki, osebnimi pogovori in intelektualno lastnino.
  • Ogrožanje sistema : RAT lahko ogrozijo celovitost in funkcionalnost okuženih sistemov. Napadalci lahko onemogočijo varnostno programsko opremo, spremenijo sistemske konfiguracije ali celo namestijo dodatno zlonamerno programsko opremo, kar povzroči nestabilnost sistema, poškodbo podatkov in izgubo produktivnosti.
  • Širjenje in ogrožanje omrežja : RAT lahko olajšajo širjenje zlonamerne programske opreme v omrežju. Ko je ena naprava okužena, lahko napadalci ogroženi sistem uporabijo kot lansirno ploščo za infiltracijo v druge povezane naprave, strežnike ali komponente infrastrukture, kar lahko povzroči obsežno škodo in motnje.
  • Dolgoročna obstojnost : RAT so zasnovani za vzdrževanje trajnega dostopa do okuženih sistemov. Tudi če so začetni poskusi odkrivanja in odstranitve uspešni, lahko napadalci zlonamerno programsko opremo znova namestijo ali znova aktivirajo, kar zagotavlja nadaljnji dostop in nadzor nad ogroženimi napravami za daljša obdobja.
  • Škoda za ugled in pravne posledice : uspešen napad RAT ima lahko resne posledice za žrtve, vključno s škodo za njihov ugled, izgubo zaupanja strank in pravnimi obveznostmi. Kršitve občutljivih podatkov lahko povzročijo regulativne kazni, tožbe in druge pravne posledice, kar še poslabša ugled in finančni vpliv na prizadete organizacije.

Če povzamemo, okužbe RAT predstavljajo veliko grožnjo za žrtve, od nepooblaščenega dostopa in kraje podatkov do ogrožanja sistema, širjenja omrežja in dolgoročne obstojnosti. Proaktivni ukrepi kibernetske varnosti, vključno z rednimi posodobitvami programske opreme, robustno zaščito končne točke, usposabljanjem za ozaveščanje uporabnikov in načrtovanjem odzivanja na incidente, so obvezni ukrepi za ublažitev tveganj, povezanih z napadi RAT.

V trendu

Najbolj gledan

Nalaganje...