Dora CHUỘT
Tác nhân đe dọa liên quan đến Triều Tiên có tên Andariel đã được quan sát thấy sử dụng cửa hậu mới dựa trên Golang có tên Dora RAT trong các cuộc tấn công nhắm vào các viện giáo dục, công ty sản xuất và doanh nghiệp xây dựng ở Hàn Quốc. Keylogger, công cụ đánh cắp thông tin và proxy phía trên cửa sau đã được sử dụng cho các cuộc tấn công. Tác nhân đe dọa có thể đã sử dụng các chủng phần mềm độc hại này để kiểm soát và đánh cắp dữ liệu từ các hệ thống bị nhiễm.
Công ty an ninh mạng Hàn Quốc cho biết thêm, các cuộc tấn công có đặc điểm là sử dụng máy chủ Apache Tomcat dễ bị tấn công để phát tán phần mềm độc hại, đồng thời lưu ý rằng hệ thống được đề cập đã chạy phiên bản 2013 của Apache Tomcat, khiến nó dễ bị ảnh hưởng bởi một số lỗ hổng.
Mục lục
Andariel APT là tác nhân chính trong bối cảnh tội phạm mạng
Andariel , còn được biết đến với các bí danh như Nicket Hyatt, Onyx Sleet và Silent Chollima, tạo thành một nhóm Mối đe dọa liên tục nâng cao (APT) phù hợp với các mục tiêu chiến lược của Triều Tiên kể từ ít nhất là năm 2008.
Là một phe trong Nhóm Lazarus rộng lớn, kẻ thù này thể hiện lịch sử sử dụng các cuộc tấn công lừa đảo trực tuyến, tưới nước và khai thác các lỗ hổng phần mềm đã biết để giành quyền truy cập ban đầu và phổ biến phần mềm độc hại trên các mạng mục tiêu.
Mặc dù các nhà nghiên cứu không tiết lộ chi tiết cụ thể về phương pháp tấn công để triển khai phần mềm độc hại, nhưng nhấn mạnh rằng một biến thể của phần mềm độc hại Nestdoor đã được thiết lập đã được sử dụng. Biến thể này sở hữu các chức năng cho phép nó nhận và thực thi các lệnh từ máy chủ từ xa, truyền tệp, khởi tạo shell đảo ngược, thu thập dữ liệu clipboard và tổ hợp phím cũng như hoạt động như một proxy.
Andariel APT đã triển khai Dora RAT cho các thiết bị bị xâm nhập
Các cuộc tấn công sử dụng một cửa hậu không được tiết lộ được gọi là Dora RAT, trước đây không có giấy tờ. Nó được đặc trưng là phần mềm độc hại đơn giản với các chức năng hoạt động đảo ngược shell và khả năng truyền tệp.
Hơn nữa, kẻ tấn công đã sử dụng chứng chỉ hợp lệ để ký và phân phối phần mềm độc hại Dora RAT. Các xác nhận chỉ ra rằng một số chủng Dora RAT nhất định được sử dụng trong các cuộc tấn công đã được ký bằng chứng chỉ hợp pháp được cấp cho một nhà phát triển phần mềm ở Vương quốc Anh.
Trong số các loại phần mềm độc hại được triển khai trong các cuộc tấn công này, có một keylogger được giới thiệu thông qua một biến thể hợp lý của Nestdoor, cùng với thành phần đánh cắp dữ liệu chuyên dụng và công cụ proxy SOCKS5 có những điểm tương đồng với công cụ được Lazarus Group sử dụng trong ThreatNeedle 2021 chiến dịch.
Nhóm Andariel nổi bật là một trong những nhóm đe dọa tích cực nhất hoạt động tại Hàn Quốc, cùng với nhóm Kimsuky và Lazarus. Ban đầu tập trung vào việc thu thập thông tin tình báo liên quan đến an ninh quốc gia, chúng đã mở rộng phạm vi sang các cuộc tấn công có động cơ tài chính.
Nhiễm RAT có thể dẫn đến hậu quả tàn khốc cho nạn nhân
Trojan truy cập từ xa (RAT) có thể gây ra hậu quả tàn khốc cho nạn nhân do tính chất xâm nhập và bí mật của chúng. Đây là lý do tại sao:
- Truy cập trái phép : RAT cấp cho kẻ tấn công quyền truy cập không hạn chế vào các hệ thống bị nhiễm. Quyền truy cập này cho phép chúng thực thi các lệnh, cài đặt hoặc gỡ cài đặt phần mềm, sửa đổi tệp và thao tác cài đặt hệ thống từ xa, về cơ bản mang lại cho chúng toàn quyền kiểm soát thiết bị của nạn nhân.
- Trộm cắp và giám sát dữ liệu : RAT thường bao gồm các tính năng như ghi nhật ký thao tác bàn phím, chụp ảnh màn hình và chiếm quyền điều khiển webcam, cho phép kẻ tấn công theo dõi hoạt động của nạn nhân trong thời gian thực. Khả năng giám sát này cho phép đánh cắp thông tin nhạy cảm, bao gồm mật khẩu, dữ liệu tài chính, cuộc trò chuyện cá nhân và sở hữu trí tuệ.
- Thỏa hiệp hệ thống : RAT có thể làm tổn hại đến tính toàn vẹn và chức năng của các hệ thống bị nhiễm. Những kẻ tấn công có thể vô hiệu hóa phần mềm bảo mật, thay đổi cấu hình hệ thống hoặc thậm chí triển khai các phần mềm độc hại bổ sung, dẫn đến mất ổn định hệ thống, hỏng dữ liệu và giảm năng suất.
- Tuyên truyền và xâm phạm mạng : RAT có thể tạo điều kiện cho việc phát tán phần mềm độc hại trong mạng. Khi một thiết bị bị nhiễm độc, kẻ tấn công có thể sử dụng hệ thống bị xâm nhập làm bệ phóng để xâm nhập vào các thiết bị, máy chủ hoặc thành phần cơ sở hạ tầng được kết nối khác, có khả năng gây ra thiệt hại và gián đoạn trên diện rộng.
- Tính tồn tại lâu dài : RAT được thiết kế để duy trì quyền truy cập liên tục vào các hệ thống bị nhiễm. Ngay cả khi các nỗ lực phát hiện và xóa ban đầu thành công, kẻ tấn công vẫn có thể cài đặt lại hoặc kích hoạt lại phần mềm độc hại, đảm bảo quyền truy cập và kiểm soát liên tục đối với các thiết bị bị xâm nhập trong thời gian dài.
- Thiệt hại về danh tiếng và hậu quả pháp lý : Một cuộc tấn công RAT thành công có thể gây ra hậu quả nghiêm trọng cho nạn nhân, bao gồm thiệt hại về danh tiếng của họ, mất niềm tin của khách hàng và trách nhiệm pháp lý. Việc vi phạm dữ liệu nhạy cảm có thể dẫn đến các khoản phạt theo quy định, kiện cáo và các hậu quả pháp lý khác, làm trầm trọng thêm tác động về danh tiếng và tài chính đối với các tổ chức bị ảnh hưởng.
Tóm lại, lây nhiễm RAT gây ra mối đe dọa đáng kể cho nạn nhân, từ truy cập trái phép và đánh cắp dữ liệu đến xâm phạm hệ thống, lan truyền mạng và tồn tại lâu dài. Các biện pháp an ninh mạng chủ động, bao gồm cập nhật phần mềm thường xuyên, bảo vệ điểm cuối mạnh mẽ, đào tạo nâng cao nhận thức cho người dùng và lập kế hoạch ứng phó sự cố, là những việc cần làm để giảm thiểu rủi ro liên quan đến các cuộc tấn công RAT.
