Дора ЩУР

Пов’язаний із Північною Кореєю загрозливий актор, відомий як Андаріель, був помічений за допомогою нового бекдору на базі Golang під назвою Dora RAT у своїх атаках, націлених на навчальні заклади, виробничі фірми та будівельні підприємства в Південній Кореї. Для атак використовувалися інструменти Keylogger, Infostealer і проксі-сервери, що знаходяться на бекдорі. Ймовірно, зловмисник використовував ці штами зловмисного програмного забезпечення для контролю та крадіжки даних із заражених систем.

Атаки характеризуються використанням уразливого сервера Apache Tomcat для розповсюдження шкідливого програмного забезпечення, додала південнокорейська фірма з кібербезпеки, зазначивши, що система, про яку йде мова, запускала версію Apache Tomcat 2013 року, що робить її чутливою до кількох уразливостей.

Andariel APT є головною дійовою особою на сцені кіберзлочинності

Andariel , також відомий під такими псевдонімами, як Nicket Hyatt, Onyx Sleet і Silent Chollima, становить групу Advanced PersistentThreat (APT), яка відповідає стратегічним цілям Північної Кореї принаймні з 2008 року.

Цей супротивник, який є фракцією великої групи Lazarus Group , демонструє історію використання фішингу, атак із використанням відомих уразливостей програмного забезпечення для отримання первинного доступу та поширення шкідливого програмного забезпечення в цільових мережах.

Хоча дослідники не розкрили деталі методології атаки для розгортання зловмисного програмного забезпечення, було підкреслено, що використовувався варіант зловмисного програмного забезпечення Nestdoor. Цей варіант має функції, які дозволяють йому отримувати та виконувати команди з віддаленого сервера, передавати файли, ініціювати зворотну оболонку, збирати дані буфера обміну та натискання клавіш і працювати як проксі.

Andariel APT розгорнув Dora RAT на зламаних пристроях

Атаки використовували нерозкритий бекдор, відомий як Dora RAT, який раніше не був задокументований. Його характеризують як звичайне шкідливе програмне забезпечення з функціями для зворотних операцій оболонки та можливостями передачі файлів.

Крім того, зловмисник використав дійсний сертифікат для підписання та розповсюдження шкідливого ПЗ Dora RAT. Підтвердження вказують на те, що певні штами Dora RAT, які використовувалися в атаках, були підписані законним сертифікатом, виданим розробнику програмного забезпечення у Сполученому Королівстві.

Серед різновидів зловмисного програмного забезпечення, що використовуються в цих атаках, є кейлоггер, представлений через спрощений варіант Nestdoor, а також спеціалізований компонент для крадіжки даних і проксі-інструмент SOCKS5, який схожий на той, який використовувався Lazarus Group у ThreatNeedle 2021 року. кампанія.

Група Andariel виділяється як одна з найактивніших дійових осіб, що діють у Кореї, поряд із групами Kimsuky та Lazarus. Спочатку вони були зосереджені на зборі розвідданих, що стосуються національної безпеки, але розширили сферу своєї діяльності, включивши в неї фінансово мотивовані атаки.

Інфекції щурів можуть призвести до руйнівних наслідків для жертв

Трояни віддаленого доступу (RAT) можуть завдати руйнівних наслідків жертвам через їх нав’язливий і таємний характер. Ось чому:

• Неавторизований доступ : RAT надають зловмисникам необмежений доступ до заражених систем. Цей доступ дозволяє їм виконувати команди, встановлювати або видаляти програмне забезпечення, змінювати файли та маніпулювати налаштуваннями системи віддалено, по суті, даючи їм повний контроль над пристроєм жертви.
• Крадіжка даних і спостереження : RAT часто включають такі функції, як клавіатурний журнал, захоплення екрана та захоплення веб-камери, що дозволяє зловмисникам контролювати дії жертв у реальному часі. Ця можливість стеження дозволяє викрадати конфіденційну інформацію, зокрема паролі, фінансові дані, особисті розмови та інтелектуальну власність.
• Злом системи : RATs можуть порушити цілісність і функціональність заражених систем. Зловмисники можуть вимкнути програмне забезпечення безпеки, змінити конфігурацію системи або навіть розгорнути додаткові шкідливі програми, що призведе до нестабільності системи, пошкодження даних і втрати продуктивності.
• Розповсюдження та компрометація мережі : RAT можуть сприяти поширенню зловмисного програмного забезпечення в мережі. Після зараження одного пристрою зловмисники можуть використовувати скомпрометовану систему як панель запуску для проникнення на інші підключені пристрої, сервери чи компоненти інфраструктури, потенційно спричиняючи значну шкоду та збої.
• Довгострокова стійкість : RATs призначені для підтримки постійного доступу до заражених систем. Навіть якщо початкові спроби виявлення та видалення виявляться успішними, зловмисники можуть перевстановити або повторно активувати зловмисне програмне забезпечення, забезпечуючи постійний доступ і контроль над скомпрометованими пристроями протягом тривалого часу.
• Пошкодження репутації та юридичні наслідки : успішна атака RAT може мати серйозні наслідки для жертв, включаючи шкоду їхній репутації, втрату довіри клієнтів і юридичну відповідальність. Порушення конфіденційних даних може призвести до штрафів, судових позовів та інших правових наслідків, що ще більше погіршить репутацію та фінансовий вплив на постраждалі організації.

Підсумовуючи, RAT-інфекції становлять серйозну загрозу для жертв, починаючи від несанкціонованого доступу та крадіжки даних до компрометації системи, поширення мережі та довготривалої стійкості. Профілактичні заходи кібербезпеки, включаючи регулярні оновлення програмного забезпечення, надійний захист кінцевих точок, навчання користувачів і планування реагування на інциденти, є обов’язковими для пом’якшення ризиків, пов’язаних з атаками RAT.