Dora DAGA

Ang aktor ng pagbabanta na nauugnay sa North Korea na kilala bilang Andariel ay naobserbahang gumagamit ng bagong backdoor na nakabase sa Golang na tinatawag na Dora RAT sa mga pag-atake nito na nagta-target sa mga institusyong pang-edukasyon, mga kumpanya ng pagmamanupaktura, at mga negosyo sa konstruksiyon sa South Korea. Keylogger, infostealer, at proxy tool sa itaas ng backdoor ay ginamit para sa mga pag-atake. Malamang na ginamit ng threat actor ang mga strain ng malware na ito para kontrolin at magnakaw ng data mula sa mga nahawaang system.

Ang mga pag-atake ay nailalarawan sa pamamagitan ng paggamit ng isang mahinang Apache Tomcat server upang ipamahagi ang malware, idinagdag ng South Korean cybersecurity firm, na binanggit na ang system na pinag-uusapan ay nagpatakbo ng 2013 na bersyon ng Apache Tomcat, na ginagawa itong madaling kapitan sa ilang mga kahinaan.

Ang Andariel APT ay isang Major Actor sa Cybercrime Scene

Ang Andariel , na kilala rin sa mga alyas gaya ng Nicket Hyatt, Onyx Sleet, at Silent Chollima, ay bumubuo ng isang Advanced PersistentThreat (APT) na grupo na nakahanay sa mga madiskarteng layunin ng North Korea mula noong 2008 man lang.

Isang paksyon sa loob ng malawak na Lazarus Group , ang kalaban na ito ay nagpapakita ng kasaysayan ng paggamit ng spear-phishing, watering hole attack, at pagsasamantala sa mga kilalang kahinaan sa software upang makakuha ng paunang access at magpakalat ng malware sa mga naka-target na network.

Bagama't hindi ibinunyag ng mga mananaliksik ang mga detalye tungkol sa pamamaraan ng pag-atake para sa pag-deploy ng malware, na-highlight na isang variant ng naitatag na Nestdoor malware ang ginamit. Ang variant na ito ay nagtataglay ng mga functionality na nagbibigay-daan dito na makatanggap at magsagawa ng mga command mula sa isang malayuang server, maglipat ng mga file, magpasimula ng reverse shell, mangolekta ng data ng clipboard at mga keystroke at gumana bilang isang proxy.

Inilagay ng Andariel APT ang Dora RAT sa Mga Nakompromisong Device

Ang mga pag-atake ay gumamit ng isang hindi isiniwalat na backdoor na kilala bilang Dora RAT, na dati nang walang dokumento. Nailalarawan ito bilang direktang malware na may mga functionality para sa reverse shell operations at mga kakayahan sa paglilipat ng file.

Higit pa rito, ang umaatake ay gumamit ng wastong sertipiko upang lagdaan at ipamahagi ang Dora RAT malware. Isinasaad ng mga kumpirmasyon na ang ilang mga strain ng Dora RAT na ginamit sa mga pag-atake ay nilagdaan gamit ang isang lehitimong sertipiko na ibinigay sa isang software developer sa United Kingdom.

Kabilang sa iba't ibang strain ng malware na na-deploy sa mga pag-atakeng ito, mayroong isang keylogger na ipinakilala sa pamamagitan ng isang streamline na variant ng Nestdoor, kasama ang isang espesyal na bahagi ng pagnanakaw ng data at isang SOCKS5 proxy tool na may pagkakatulad sa isang ginamit ng Lazarus Group noong 2021 ThreatNeedle kampanya.

Ang grupong Andariel ay namumukod-tangi bilang isa sa mga pinaka-aktibong aktor ng pagbabanta na tumatakbo sa Korea, kasama ang mga grupong Kimsuky at Lazarus. Sa una ay nakatuon sa pangangalap ng katalinuhan tungkol sa pambansang seguridad, pinalawak nila ang kanilang saklaw upang isama ang mga pag-atake na may motibasyon sa pananalapi.

Ang mga Impeksyon sa RAT ay Maaaring Magdulot ng Mapangwasak na Bunga para sa mga Biktima

Ang Remote Access Trojans (RATs) ay maaaring magdulot ng mapangwasak na kahihinatnan sa mga biktima dahil sa kanilang mapanghimasok at lihim na kalikasan. Narito kung bakit:

• Hindi Awtorisadong Pag-access : Ang mga RAT ay nagbibigay sa mga umaatake ng walang limitasyong pag-access sa mga nahawaang system. Ang access na ito ay nagbibigay-daan sa kanila na magsagawa ng mga command, mag-install o mag-uninstall ng software, magbago ng mga file, at manipulahin ang mga setting ng system nang malayuan, na mahalagang nagbibigay sa kanila ng ganap na kontrol sa device ng biktima.
• Pagnanakaw at Pagsubaybay ng Data : Kadalasang kasama sa mga RAT ang mga feature gaya ng keylogging, screen capturing, at webcam hijacking, na nagpapahintulot sa mga attacker na subaybayan ang mga aktibidad ng mga biktima nang real-time. Ang kakayahan sa pagsubaybay na ito ay nagbibigay-daan sa pagnanakaw ng sensitibong impormasyon, kabilang ang mga password, data sa pananalapi, personal na pag-uusap, at intelektwal na pag-aari.
• System Compromise : Maaaring ikompromiso ng mga RAT ang integridad at functionality ng mga nahawaang system. Maaaring i-disable ng mga attacker ang software ng seguridad, baguhin ang mga configuration ng system, o kahit na mag-deploy ng mga karagdagang malware payload, na humahantong sa kawalang-tatag ng system, katiwalian ng data, at pagkawala ng produktibidad.
• Pagpapalaganap at Pagkompromiso sa Network : Maaaring mapadali ng mga RAT ang pagkalat ng malware sa loob ng isang network. Kapag na-infect ang isang device, magagamit ng mga attacker ang nakompromisong system bilang launchpad para makalusot sa iba pang konektadong device, server, o bahagi ng imprastraktura, na posibleng magdulot ng malawakang pinsala at pagkagambala.
• Pangmatagalang Pagtitiyaga : Ang mga RAT ay idinisenyo upang mapanatili ang patuloy na pag-access sa mga nahawaang sistema. Kahit na matagumpay ang paunang pag-detect at pagtatangka sa pag-alis, maaaring muling i-install o muling i-activate ng mga umaatake ang malware, na tinitiyak ang patuloy na pag-access at kontrol sa mga nakompromisong device sa loob ng mahabang panahon.
• Pinsala sa Reputasyon at Legal na Bunga : Ang matagumpay na pag-atake ng RAT ay maaaring magkaroon ng matinding epekto para sa mga biktima, kabilang ang pinsala sa kanilang reputasyon, pagkawala ng tiwala ng customer, at legal na pananagutan. Ang mga paglabag sa sensitibong data ay maaaring magresulta sa mga regulasyong multa, demanda, at iba pang legal na kahihinatnan, na lalong magpapalala sa reputasyon at pinansiyal na epekto sa mga apektadong organisasyon.

Sa buod, ang mga impeksyon sa RAT ay nagdudulot ng malaking banta sa mga biktima, mula sa hindi awtorisadong pag-access at pagnanakaw ng data hanggang sa kompromiso sa system, pagpapalaganap ng network, at pangmatagalang pagtitiyaga. Ang mga proactive na hakbang sa cybersecurity, kabilang ang mga regular na pag-update ng software, matatag na proteksyon sa endpoint, pagsasanay sa kamalayan ng user, at pagpaplano ng pagtugon sa insidente, ay dapat gawin upang mabawasan ang mga panganib na nauugnay sa mga pag-atake ng RAT.