דורה RAT

שחקן האיום הקשור לצפון קוריאה הידוע בשם Andriel נצפה משתמש בדלת אחורית חדשה מבוססת גולנג בשם Dora RAT בהתקפותיו נגד מוסדות חינוך, חברות ייצור ועסקים בבנייה בדרום קוריאה. כלי Keylogger, Infostealer וכלי פרוקסי על גבי הדלת האחורית שימשו עבור ההתקפות. שחקן האיום כנראה השתמש בזני תוכנות זדוניות אלה כדי לשלוט ולגנוב נתונים מהמערכות הנגועות.

ההתקפות מאופיינות בשימוש בשרת Apache Tomcat פגיע להפצת התוכנה הזדונית, הוסיפה חברת אבטחת הסייבר הדרום קוריאנית, וציינה שהמערכת המדוברת הריצה את גרסת 2013 של Apache Tomcat, מה שהופך אותה לרגישה למספר פגיעויות.

ה-Andriel APT הוא שחקן מרכזי בסצנת פשעי סייבר

Andariel , הידוע גם בכינויים כמו Nicket Hyatt, Onyx Sleet ו- Silent Chollima, מהווה קבוצת Advanced PersistentThreat (APT) המותאמת ליעדים האסטרטגיים של צפון קוריאה מאז 2008 לפחות.

סיעה בקבוצת Lazarus הנרחבת, יריב זה מדגים היסטוריה של שימוש בהתחזות בחנית, התקפות בורות מים וניצול פרצות תוכנה ידועות כדי לקבל גישה ראשונית ולהפיץ תוכנות זדוניות ברשתות ממוקדות.

בעוד שפרטים לגבי מתודולוגיית ההתקפה לפריסת תוכנות זדוניות לא נחשפו על ידי החוקרים, הודגש כי נעשה שימוש בגרסה של תוכנת הזדונית המבוססת של Nestdoor. לגרסה זו יש פונקציונליות המאפשרות לה לקבל ולבצע פקודות משרת מרוחק, להעביר קבצים, ליזום מעטפת הפוכה, לאסוף נתוני לוח והקשות ולפעול כפרוקסי.

ה-Andriel APT פרס את Dora RAT למכשירים שנפגעו

ההתקפות השתמשו בדלת אחורית לא ידועה בשם Dora RAT, שלא תועדה בעבר. הוא מאופיין כתוכנה זדונית פשוטה עם פונקציונליות לפעולות מעטפת הפוכה ויכולות העברת קבצים.

יתרה מזאת, התוקף השתמש בתעודה חוקית כדי לחתום ולהפיץ את התוכנה הזדונית Dora RAT. אישורים מצביעים על כך שזנים מסוימים של דורה RAT ששימשו בהתקפות נחתמו עם אישור לגיטימי שהונפק למפתח תוכנה בבריטניה.

בין מגוון זני תוכנות זדוניות שנפרסו בהתקפות אלו, ישנו מפתח לוגר שהוצג באמצעות גרסה יעילה של Nestdoor, יחד עם רכיב מיוחד לגניבת נתונים וכלי פרוקסי SOCKS5 שחולק קווי דמיון עם כלי שנוצל על ידי קבוצת Lazarus ב-2021 ThreatNeedle קמפיין.

קבוצת אנדריאל מתבלטת כאחד משחקני האיומים הפעילים ביותר הפועלים בקוריאה, לצד קבוצות קימסוקי ולזארוס. בתחילה התמקדו באיסוף מודיעין הנוגע לביטחון לאומי, הם הרחיבו את היקפם לכלול התקפות על רקע כלכלי.

זיהומים של חולדה עלולים להוביל לתוצאות הרסניות עבור הקורבנות

סוסים טרויאניים של גישה מרחוק (RAT) יכולים לגרום לקורבנות השלכות הרסניות בשל אופיים הפולשני והחשאי. הנה למה:

• גישה לא מורשית : RATs מעניקים לתוקפים גישה בלתי מוגבלת למערכות נגועות. גישה זו מאפשרת להם לבצע פקודות, להתקין או להסיר תוכנה, לשנות קבצים ולתפעל הגדרות מערכת מרחוק, ובעצם נותנת להם שליטה מלאה על המכשיר של הקורבן.
• גניבת נתונים ומעקב : RATs כוללים לעתים קרובות תכונות כגון רישום מקשים, לכידת מסך וחטיפת מצלמת אינטרנט, המאפשרים לתוקפים לנטר את פעילות הקורבנות בזמן אמת. יכולת מעקב זו מאפשרת גניבה של מידע רגיש, לרבות סיסמאות, נתונים פיננסיים, שיחות אישיות וקניין רוחני.
• פגיעה במערכת : RATs עלולים לפגוע בשלמות ובפונקציונליות של מערכות נגועות. תוקפים עשויים להשבית תוכנת אבטחה, לשנות תצורות מערכת, או אפילו לפרוס מטענים נוספים של תוכנות זדוניות, מה שיוביל לאי יציבות המערכת, השחתת נתונים ואובדן פרודוקטיביות.
• הפצה ופגיעה ברשת : RATs יכולים להקל על התפשטות תוכנות זדוניות בתוך רשת. ברגע שמכשיר בודד נגוע, התוקפים יכולים להשתמש במערכת שנפגעה כמשטח שיגור כדי לחדור להתקנים, שרתים או רכיבי תשתית מחוברים אחרים, שעלולים לגרום לנזק ושיבוש נרחב.
• התמדה לטווח ארוך : RATs נועדו לשמור על גישה מתמשכת למערכות נגועות. גם אם ניסיונות זיהוי והסרה ראשוניים יצליחו, התוקפים עשויים להתקין מחדש או להפעיל מחדש את התוכנה הזדונית, מה שמבטיח המשך גישה ושליטה על מכשירים שנפרצו לתקופות ממושכות.
• פגיעה במוניטין והשלכות משפטיות : למתקפה מוצלחת של RAT יכולות להיות השלכות חמורות על הקורבנות, כולל פגיעה במוניטין שלהם, אובדן אמון לקוחות וחובות משפטית. הפרות של נתונים רגישים עלולה לגרום לקנסות רגולטוריים, תביעות משפטיות והשלכות משפטיות אחרות, ולהחריף עוד יותר את המוניטין וההשפעה הכספית על ארגונים שנפגעו.

לסיכום, זיהומים RAT מהווים איומים משמעותיים על הקורבנות, החל מגישה לא מורשית וגניבת נתונים ועד להתפשרות על המערכת, הפצת רשת והתמדה ארוכת טווח. אמצעי אבטחת סייבר פרואקטיביים, לרבות עדכוני תוכנה שוטפים, הגנה חזקה על נקודות קצה, הדרכה למודעות משתמשים ותכנון תגובה לאירועים, הם פעולות חובה כדי לצמצם את הסיכונים הכרוכים בהתקפות RAT.