ดอร่า หนู
ผู้ก่อภัยคุกคามที่เชื่อมโยงกับเกาหลีเหนือที่รู้จักกันในชื่อ Andariel ถูกสังเกตเห็นว่าใช้แบ็คดอร์ที่ใช้ Golang ตัวใหม่ที่เรียกว่า Dora RAT ในการโจมตีโดยมีเป้าหมายที่สถาบันการศึกษา บริษัทผู้ผลิต และธุรกิจก่อสร้างในเกาหลีใต้ เครื่องมือ Keylogger, infostealer และพร็อกซีที่อยู่ด้านบนของประตูหลังถูกนำมาใช้ในการโจมตี ผู้คุกคามอาจใช้สายพันธุ์มัลแวร์เหล่านี้เพื่อควบคุมและขโมยข้อมูลจากระบบที่ติดไวรัส
การโจมตีดังกล่าวมีลักษณะเฉพาะคือการใช้เซิร์ฟเวอร์ Apache Tomcat ที่มีช่องโหว่เพื่อกระจายมัลแวร์ บริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ กล่าวเสริม โดยสังเกตว่าระบบดังกล่าวใช้งาน Apache Tomcat เวอร์ชันปี 2013 ทำให้มีความเสี่ยงต่อช่องโหว่หลายประการ
สารบัญ
Andariel APT คือนักแสดงหลักในแวดวงอาชญากรรมไซเบอร์
Andariel หรือที่รู้จักกันในชื่อนามแฝง เช่น Nicket Hyatt, Onyx Sleet และ Silent Chollima เป็นกลุ่มกลุ่ม Advanced PersistentThreat (APT) ที่สอดคล้องกับวัตถุประสงค์เชิงกลยุทธ์ของเกาหลีเหนือตั้งแต่ปี 2551 เป็นอย่างน้อย
ฝ่ายหนึ่งใน กลุ่ม Lazarus Group ที่กว้างขวาง ศัตรูรายนี้แสดงให้เห็นถึงประวัติของการใช้ฟิชชิ่งแบบหอก การโจมตีแบบ Watering Hole และใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่ทราบเพื่อเข้าถึงเบื้องต้นและเผยแพร่มัลแวร์ผ่านเครือข่ายเป้าหมาย
แม้ว่านักวิจัยจะไม่ได้เปิดเผยข้อมูลเฉพาะเกี่ยวกับวิธีการโจมตีสำหรับการใช้งานมัลแวร์ แต่ก็มีการเน้นย้ำว่ามีการนำมัลแวร์ Nestdoor ที่เป็นที่ยอมรับไปใช้ในรูปแบบต่างๆ ตัวแปรนี้มีฟังก์ชันที่ทำให้สามารถรับและดำเนินการคำสั่งจากเซิร์ฟเวอร์ระยะไกล ถ่ายโอนไฟล์ เริ่มต้นเชลล์ย้อนกลับ รวบรวมข้อมูลคลิปบอร์ดและการกดแป้นพิมพ์ และทำงานเป็นพร็อกซี
Andariel APT ปรับใช้ Dora RAT ไปยังอุปกรณ์ที่ถูกบุกรุก
การโจมตีดังกล่าวใช้แบ็คดอร์ที่ไม่เปิดเผยซึ่งรู้จักกันในชื่อ Dora RAT ซึ่งก่อนหน้านี้ไม่มีเอกสาร มีลักษณะเป็นมัลแวร์ตรงไปตรงมาพร้อมฟังก์ชันการทำงานสำหรับการดำเนินการย้อนกลับเชลล์และความสามารถในการถ่ายโอนไฟล์
นอกจากนี้ ผู้โจมตียังใช้ใบรับรองที่ถูกต้องเพื่อลงนามและเผยแพร่มัลแวร์ Dora RAT การยืนยันระบุว่า Dora RAT บางสายพันธุ์ที่ใช้ในการโจมตีได้รับการลงนามด้วยใบรับรองที่ถูกต้องตามกฎหมายที่ออกให้กับนักพัฒนาซอฟต์แวร์ในสหราชอาณาจักร
ในบรรดามัลแวร์ประเภทต่างๆ ที่ถูกนำไปใช้ในการโจมตีเหล่านี้ มีคีย์ล็อกเกอร์ที่นำมาใช้ผ่าน Nestdoor รุ่นที่มีประสิทธิภาพ พร้อมด้วยส่วนประกอบพิเศษในการขโมยข้อมูลและเครื่องมือพร็อกซี SOCKS5 ที่แบ่งปันความคล้ายคลึงกับที่ Lazarus Group ใช้ใน ThreatNeedle ปี 2021 แคมเปญ.
กลุ่ม Andariel โดดเด่นในฐานะหนึ่งในผู้แสดงภัยคุกคามที่กระตือรือร้นที่สุดที่ดำเนินงานในเกาหลี ควบคู่ไปกับกลุ่ม Kimsuky และ Lazarus ในตอนแรกมุ่งเน้นไปที่การรวบรวมข่าวกรองเกี่ยวกับความมั่นคงของชาติ พวกเขาได้ขยายขอบเขตให้ครอบคลุมถึงการโจมตีที่มีแรงจูงใจทางการเงิน
การติดเชื้อของ RAT อาจนำไปสู่ผลร้ายแรงต่อผู้ที่ตกเป็นเหยื่อ
โทรจันการเข้าถึงระยะไกล (RAT) สามารถสร้างผลร้ายแรงต่อเหยื่อได้เนื่องจากลักษณะการล่วงล้ำและเป็นความลับ นี่คือเหตุผล:
- การเข้าถึงที่ไม่ได้รับอนุญาต : RAT ให้สิทธิ์แก่ผู้โจมตีในการเข้าถึงระบบที่ติดไวรัสได้อย่างไม่จำกัด การเข้าถึงนี้ช่วยให้พวกเขาสามารถดำเนินการคำสั่ง ติดตั้งหรือถอนการติดตั้งซอฟต์แวร์ แก้ไขไฟล์ และจัดการการตั้งค่าระบบจากระยะไกล โดยพื้นฐานแล้วทำให้พวกเขาสามารถควบคุมอุปกรณ์ของเหยื่อได้อย่างเต็มที่
- การโจรกรรมข้อมูลและการเฝ้าระวัง : RAT มักจะมีฟีเจอร์ต่างๆ เช่น การล็อกคีย์ การจับภาพหน้าจอ และการไฮแจ็กเว็บแคม ซึ่งช่วยให้ผู้โจมตีสามารถตรวจสอบกิจกรรมของเหยื่อได้แบบเรียลไทม์ ความสามารถในการเฝ้าระวังนี้ช่วยให้สามารถขโมยข้อมูลที่ละเอียดอ่อนได้ รวมถึงรหัสผ่าน ข้อมูลทางการเงิน การสนทนาส่วนตัว และทรัพย์สินทางปัญญา
- การประนีประนอมของระบบ : RAT สามารถประนีประนอมความสมบูรณ์และการทำงานของระบบที่ติดไวรัสได้ ผู้โจมตีอาจปิดการใช้งานซอฟต์แวร์รักษาความปลอดภัย เปลี่ยนแปลงการกำหนดค่าระบบ หรือแม้แต่ปรับใช้เพย์โหลดมัลแวร์เพิ่มเติม ซึ่งนำไปสู่ความไม่เสถียรของระบบ ข้อมูลเสียหาย และสูญเสียประสิทธิภาพการทำงาน
- การแพร่กระจายและการประนีประนอมเครือข่าย : RAT สามารถอำนวยความสะดวกในการแพร่กระจายของมัลแวร์ภายในเครือข่าย เมื่ออุปกรณ์เครื่องหนึ่งติดไวรัส ผู้โจมตีสามารถใช้ระบบที่ถูกบุกรุกเป็น Launchpad เพื่อแทรกซึมเข้าไปในอุปกรณ์ เซิร์ฟเวอร์ หรือส่วนประกอบโครงสร้างพื้นฐานที่เชื่อมต่ออื่นๆ ซึ่งอาจก่อให้เกิดความเสียหายและการหยุดชะงักในวงกว้าง
- การคงอยู่ในระยะยาว : RAT ได้รับการออกแบบมาเพื่อรักษาการเข้าถึงระบบที่ติดไวรัสอย่างต่อเนื่อง แม้ว่าความพยายามในการตรวจจับและกำจัดครั้งแรกจะประสบความสำเร็จ ผู้โจมตีอาจติดตั้งหรือเปิดใช้งานมัลแวร์อีกครั้ง เพื่อให้มั่นใจว่ามีการเข้าถึงและควบคุมอุปกรณ์ที่ถูกบุกรุกอย่างต่อเนื่องเป็นระยะเวลานาน
- ความเสียหายต่อชื่อเสียงและผลที่ตามมาทางกฎหมาย : การโจมตี RAT ที่ประสบความสำเร็จอาจส่งผลกระทบอย่างรุนแรงต่อเหยื่อ รวมถึงความเสียหายต่อชื่อเสียง การสูญเสียความไว้วางใจของลูกค้า และความรับผิดทางกฎหมาย การละเมิดข้อมูลที่ละเอียดอ่อนอาจส่งผลให้ต้องเสียค่าปรับตามกฎระเบียบ การฟ้องร้อง และผลทางกฎหมายอื่นๆ ซึ่งทำให้ชื่อเสียงและผลกระทบทางการเงินรุนแรงขึ้นต่อองค์กรที่ได้รับผลกระทบ
โดยสรุป การติดไวรัส RAT ก่อให้เกิดภัยคุกคามที่สำคัญต่อเหยื่อ ตั้งแต่การเข้าถึงโดยไม่ได้รับอนุญาตและการขโมยข้อมูล ไปจนถึงการประนีประนอมของระบบ การแพร่กระจายเครือข่าย และการคงอยู่ในระยะยาว มาตรการรักษาความปลอดภัยทางไซเบอร์เชิงรุก รวมถึงการอัปเดตซอฟต์แวร์เป็นประจำ การป้องกันอุปกรณ์ปลายทางที่แข็งแกร่ง การฝึกอบรมการรับรู้ของผู้ใช้ และการวางแผนการตอบสนองต่อเหตุการณ์ เป็นสิ่งที่ต้องทำเพื่อลดความเสี่ยงที่เกี่ยวข้องกับการโจมตีของ RAT
