Dora RAT
Andariel olarak bilinen Kuzey Kore bağlantılı tehdit aktörünün, Güney Kore'deki eğitim enstitülerini, imalat firmalarını ve inşaat işletmelerini hedef alan saldırılarında Dora RAT adlı yeni Golang tabanlı bir arka kapıyı kullandığı gözlemlendi. Saldırılarda arka kapının üstünde bulunan keylogger, bilgi hırsızı ve proxy araçları kullanıldı. Tehdit aktörü muhtemelen bu kötü amaçlı yazılım türlerini, virüslü sistemlerdeki verileri kontrol etmek ve çalmak için kullanmıştır.
Güney Koreli siber güvenlik firması, saldırıların, kötü amaçlı yazılımı dağıtmak için savunmasız bir Apache Tomcat sunucusunun kullanılmasıyla karakterize edildiğini belirterek, söz konusu sistemin Apache Tomcat'in 2013 sürümünü çalıştırdığını ve bu durumun onu çeşitli güvenlik açıklarına karşı duyarlı hale getirdiğini belirtti.
İçindekiler
Andariel APT Siber Suç Ortamında Önemli Bir Aktördür
Nicket Hyatt, Onyx Sleet ve Silent Chollima gibi takma adlarla da bilinen Andariel , en az 2008'den bu yana Kuzey Kore'nin stratejik hedefleriyle uyumlu bir Gelişmiş Kalıcı Tehdit (APT) grubu oluşturuyor.
Kapsamlı Lazarus Grubunun bir fraksiyonu olan bu düşman, hedef odaklı kimlik avı, sulama deliği saldırıları kullanma ve ilk erişimi elde etmek ve kötü amaçlı yazılımları hedeflenen ağlara yaymak için bilinen yazılım açıklarından yararlanma konusunda bir geçmişe sahiptir.
Kötü amaçlı yazılım dağıtımına yönelik saldırı metodolojisine ilişkin ayrıntılar araştırmacılar tarafından açıklanmasa da, yerleşik Nestdoor kötü amaçlı yazılımının bir çeşidinin kullanıldığı vurgulandı. Bu varyant, uzak bir sunucudan komutları alıp yürütmesine, dosyaları aktarmasına, ters kabuk başlatmasına, pano verilerini ve tuş vuruşlarını toplamasına ve proxy olarak çalışmasına olanak tanıyan işlevlere sahiptir.
Andariel APT, Dora RAT'ı Güvenliği Tehlike Altındaki Cihazlara Konuşlandırdı
Saldırılarda, daha önce belgelenmemiş olan ve Dora RAT olarak bilinen, açıklanmayan bir arka kapı kullanıldı. Ters kabuk işlemleri ve dosya aktarım yeteneklerine yönelik işlevlere sahip basit bir kötü amaçlı yazılım olarak nitelendirilir.
Ayrıca saldırgan, Dora RAT kötü amaçlı yazılımını imzalamak ve dağıtmak için geçerli bir sertifika kullanmıştır. Doğrulamalar, saldırılarda kullanılan Dora RAT'ın belirli türlerinin, Birleşik Krallık'taki bir yazılım geliştiricisine verilen meşru bir sertifikayla imzalandığını gösteriyor.
Bu saldırılarda kullanılan çeşitli kötü amaçlı yazılım türleri arasında, Nestdoor'un geliştirilmiş bir versiyonu aracılığıyla tanıtılan bir keylogger'ın yanı sıra özel bir veri çalma bileşeni ve Lazarus Grubu tarafından 2021 ThreatNeedle'da kullanılan araçla benzerlikler paylaşan bir SOCKS5 proxy aracı da yer alıyor. kampanya.
Andariel grubu, Kimsuky ve Lazarus gruplarının yanı sıra Kore'de faaliyet gösteren en aktif tehdit aktörlerinden biri olarak öne çıkıyor. Başlangıçta ulusal güvenliğe ilişkin istihbarat toplamaya odaklanan örgüt, mali amaçlı saldırıları da kapsayacak şekilde kapsamlarını genişletti.
RAT Enfeksiyonları Kurbanlar İçin Yıkıcı Sonuçlara Yol Açabilir
Uzaktan Erişim Truva Atları (RAT'lar), müdahaleci ve gizli doğaları nedeniyle kurbanlar üzerinde yıkıcı sonuçlar doğurabilir. İşte nedeni:
- Yetkisiz Erişim : RAT'lar, saldırganlara virüslü sistemlere sınırsız erişim sağlar. Bu erişim, onlara komutları yürütme, yazılım yükleme veya kaldırma, dosyaları değiştirme ve sistem ayarlarını uzaktan değiştirme olanağı tanır ve esasen onlara kurbanın cihazı üzerinde tam kontrol sağlar.
- Veri Hırsızlığı ve Gözetim : RAT'lar genellikle tuş günlüğü tutma, ekran yakalama ve web kamerası ele geçirme gibi özellikleri içerir ve saldırganların kurbanların etkinliklerini gerçek zamanlı olarak izlemesine olanak tanır. Bu gözetim yeteneği; şifreler, finansal veriler, kişisel konuşmalar ve fikri mülkiyet dahil olmak üzere hassas bilgilerin çalınmasına olanak tanır.
- Sistem Güvenliğinin İhlal Edilmesi : RAT'lar, virüslü sistemlerin bütünlüğünü ve işlevselliğini tehlikeye atabilir. Saldırganlar güvenlik yazılımını devre dışı bırakabilir, sistem yapılandırmalarını değiştirebilir ve hatta ek kötü amaçlı yazılım yükleri dağıtarak sistem kararsızlığına, veri bozulmasına ve üretkenlik kaybına yol açabilir.
- Yayılma ve Ağda Tehlike : RAT'lar, kötü amaçlı yazılımın ağ içinde yayılmasını kolaylaştırabilir. Tek bir cihaza virüs bulaştığında, saldırganlar ele geçirilen sistemi diğer bağlı cihazlara, sunuculara veya altyapı bileşenlerine sızmak için bir başlatma rampası olarak kullanabilir ve bu da potansiyel olarak geniş çaplı hasara ve kesintiye neden olabilir.
- Uzun Süreli Kalıcılık : RAT'lar, virüslü sistemlere kalıcı erişimi sürdürmek için tasarlanmıştır. İlk algılama ve kaldırma girişimleri başarılı olsa bile, saldırganlar kötü amaçlı yazılımı yeniden yükleyebilir veya yeniden etkinleştirebilir, bu da güvenliği ihlal edilmiş cihazlara uzun süre boyunca sürekli erişim ve kontrol sağlayabilir.
- İtibarın Zarar Görmesi ve Yasal Sonuçları : Başarılı bir RAT saldırısı, kurbanların itibarlarının zedelenmesi, müşteri güveninin kaybedilmesi ve yasal yükümlülükler dahil olmak üzere ciddi sonuçlara yol açabilir. Hassas verilerin ihlali, düzenleyici para cezalarına, davalara ve diğer yasal sonuçlara yol açarak etkilenen kuruluşlar üzerindeki itibar ve mali etkiyi daha da kötüleştirebilir.
Özetle, RAT enfeksiyonları kurbanlar için yetkisiz erişim ve veri hırsızlığından sistem güvenliğinin ihlal edilmesine, ağ yayılmasına ve uzun vadeli kalıcılığa kadar önemli tehditler oluşturmaktadır. Düzenli yazılım güncellemeleri, güçlü uç nokta koruması, kullanıcı farkındalığı eğitimi ve olay müdahale planlaması dahil olmak üzere proaktif siber güvenlik önlemleri, RAT saldırılarıyla ilişkili riskleri azaltmak için alınması gereken önlemlerdir.
