Dora RAT

Aktori i kërcënimit i lidhur me Korenë e Veriut i njohur si Andariel është vërejtur duke përdorur një derë të re të pasme me bazë në Golang të quajtur Dora RAT në sulmet e saj që synojnë institutet arsimore, firmat prodhuese dhe bizneset e ndërtimit në Korenë e Jugut. Keylogger, infostealer dhe mjete proxy në krye të derës së pasme u përdorën për sulmet. Aktori i kërcënimit me siguri ka përdorur këto lloje malware për të kontrolluar dhe vjedhur të dhëna nga sistemet e infektuara.

Sulmet karakterizohen nga përdorimi i një serveri të cenueshëm Apache Tomcat për të shpërndarë malware, shtoi firma e sigurisë kibernetike të Koresë së Jugut, duke vënë në dukje se sistemi në fjalë drejtonte versionin 2013 të Apache Tomcat, duke e bërë atë të ndjeshëm ndaj disa dobësive.

Andariel APT është një aktor kryesor në skenën e krimit kibernetik

Andariel , i njohur gjithashtu me pseudonime si Nicket Hyatt, Onyx Sleet dhe Silent Chollima, përbën një grup të Avancuar të Kërcënimit të Përhershëm (APT) të lidhur me objektivat strategjikë të Koresë së Veriut që të paktën që nga viti 2008.

Një fraksion brenda grupit të gjerë Lazarus , ky kundërshtar demonstron një histori të përdorimit të spear-phishing, sulmeve me vrima lotuese dhe shfrytëzimit të dobësive të njohura të softuerit për të fituar akses fillestar dhe për të shpërndarë malware nëpër rrjetet e synuara.

Ndërsa specifikat në lidhje me metodologjinë e sulmit për vendosjen e malware nuk u zbuluan nga studiuesit, u theksua se u përdor një variant i malware i krijuar Nestdoor. Ky variant posedon funksionalitete që i mundësojnë të marrë dhe të ekzekutojë komanda nga një server në distancë, të transferojë skedarë, të inicojë një guaskë të kundërt, të mbledhë të dhëna nga clipboard dhe tastierë dhe të funksionojë si një përfaqësues.

Andariel APT vendosi Dora RAT në pajisjet e komprometuara

Sulmet përdorën një derë të pasme të pazbuluar të njohur si Dora RAT, e padokumentuar më parë. Karakterizohet si malware i drejtpërdrejtë me funksionalitete për operacionet e kundërta të guaskës dhe aftësitë e transferimit të skedarëve.

Për më tepër, sulmuesi ka përdorur një certifikatë të vlefshme për të nënshkruar dhe shpërndarë malware Dora RAT. Konfirmimet tregojnë se disa lloje të Dora RAT të përdorura në sulme ishin nënshkruar me një certifikatë legjitime të lëshuar për një zhvillues softuerësh në Mbretërinë e Bashkuar.

Midis shumëllojshmërisë së llojeve të malware të vendosura në këto sulme, ekziston një keylogger i prezantuar përmes një varianti të thjeshtuar të Nestdoor, së bashku me një komponent të specializuar për vjedhjen e të dhënave dhe një mjet proxy SOCKS5 që ndan ngjashmëri me atë të përdorur nga Grupi Lazarus në ThreatNeedle 2021 fushatë.

Grupi Andariel shquhet si një nga aktorët më aktivë të kërcënimit që vepron në Kore, krahas grupeve Kimsuky dhe Lazarus. Fillimisht të fokusuar në mbledhjen e inteligjencës në lidhje me sigurinë kombëtare, ata e kanë zgjeruar fushën e tyre për të përfshirë sulme të motivuara financiarisht.

Infeksionet me miu mund të çojnë në pasoja shkatërruese për viktimat

Trojanët me qasje në distancë (RAT) mund të shkaktojnë pasoja shkatërruese mbi viktimat për shkak të natyrës së tyre ndërhyrëse dhe klandestine. Ja pse:

• Qasje e paautorizuar : RAT-të u japin sulmuesve akses të pakufizuar në sistemet e infektuara. Kjo qasje u mundëson atyre të ekzekutojnë komanda, të instalojnë ose çinstalojnë softuerin, të modifikojnë skedarët dhe të manipulojnë cilësimet e sistemit nga distanca, në thelb duke u dhënë atyre kontroll të plotë mbi pajisjen e viktimës.
• Vjedhja dhe mbikëqyrja e të dhënave : RAT-të shpesh përfshijnë veçori të tilla si regjistrimi i tasteve, kapja e ekranit dhe rrëmbimi i kamerës së internetit, duke i lejuar sulmuesit të monitorojnë aktivitetet e viktimave në kohë reale. Kjo aftësi mbikëqyrjeje mundëson vjedhjen e informacionit të ndjeshëm, duke përfshirë fjalëkalimet, të dhënat financiare, bisedat personale dhe pronësinë intelektuale.
• Kompromisi i sistemit : RAT-të mund të komprometojnë integritetin dhe funksionalitetin e sistemeve të infektuara. Sulmuesit mund të çaktivizojnë softuerin e sigurisë, të ndryshojnë konfigurimet e sistemit, apo edhe të vendosin ngarkesa shtesë malware, duke çuar në paqëndrueshmëri të sistemit, korrupsion të të dhënave dhe humbje të produktivitetit.
• Përhapja dhe kompromisi i rrjetit : RAT-të mund të lehtësojnë përhapjen e malware brenda një rrjeti. Sapo një pajisje e vetme të infektohet, sulmuesit mund të përdorin sistemin e komprometuar si një platformë lëshimi për të depërtuar pajisje të tjera të lidhura, serverë ose përbërës të infrastrukturës, duke shkaktuar potencialisht dëme dhe përçarje të përhapura.
• Qëndrueshmëria afatgjatë : RAT-të janë krijuar për të mbajtur akses të vazhdueshëm në sistemet e infektuara. Edhe nëse përpjekjet fillestare për zbulimin dhe heqjen janë të suksesshme, sulmuesit mund të riinstalojnë ose riaktivizojnë malware, duke siguruar akses dhe kontroll të vazhdueshëm mbi pajisjet e komprometuara për periudha të gjata.
• Dëmtimi i reputacionit dhe pasojat ligjore : Një sulm i suksesshëm RAT mund të ketë pasoja të rënda për viktimat, duke përfshirë dëmtimin e reputacionit të tyre, humbjen e besimit të klientit dhe detyrimet ligjore. Shkeljet e të dhënave të ndjeshme mund të rezultojnë në gjoba rregullatore, padi dhe pasoja të tjera ligjore, duke përkeqësuar më tej ndikimin e reputacionit dhe financiar në organizatat e prekura.

Në përmbledhje, infeksionet me RAT paraqesin kërcënime të rëndësishme për viktimat, duke filluar nga qasja e paautorizuar dhe vjedhja e të dhënave deri te kompromentimi i sistemit, përhapja e rrjetit dhe qëndrueshmëria afatgjatë. Masat proaktive të sigurisë kibernetike, duke përfshirë përditësimet e rregullta të softuerit, mbrojtjen e fuqishme të pikës fundore, trajnimin e ndërgjegjësimit të përdoruesve dhe planifikimin e reagimit ndaj incidenteve, janë të domosdoshme për të zbutur rreziqet që lidhen me sulmet me RAT.