Dóra RAT
Az Észak-Koreához köthető, Andariel néven ismert fenyegetettséget megfigyelték, hogy egy új, Golang-alapú, Dora RAT nevű hátsó ajtót használt a dél-koreai oktatási intézmények, gyártócégek és építőipari vállalkozások elleni támadásai során. A támadásokhoz Keyloggert, infostealer-t és a hátsó ajtó tetején lévő proxy eszközöket használták. A fenyegetés szereplője valószínűleg ezeket a rosszindulatú programtörzseket használta a fertőzött rendszerek ellenőrzésére és adatok ellopására.
A támadásokat az jellemzi, hogy egy sebezhető Apache Tomcat szervert használnak a kártevő terjesztésére – tette hozzá a dél-koreai kiberbiztonsági cég, megjegyezve, hogy a szóban forgó rendszer az Apache Tomcat 2013-as verzióját futtatta, így számos sebezhetőségre érzékeny.
Tartalomjegyzék
Az Andariel APT a kiberbűnözés főszereplője
Az Andariel , más néven Nicket Hyatt, Onyx Sleet és Silent Chollima, egy Advanced PersistentThreat (APT) csoportot alkot, amely legalább 2008 óta igazodik Észak-Korea stratégiai céljaihoz.
Ez az ellenfél a kiterjedt Lazarus Csoporton belüli frakcióként bizonyítja, hogy lándzsás adathalászat, vízhiányos támadásokat alkalmazott, és kihasználta az ismert szoftveres sebezhetőségeket, hogy kezdeti hozzáférést szerezzen, és rosszindulatú programokat terjeszthessen a célzott hálózatokon.
Noha a kutatók nem hozták nyilvánosságra a rosszindulatú programok telepítésének támadási módszertanának részleteit, kiemelték, hogy a bevett Nestdoor kártevő egy változatát használták. Ez a változat olyan funkciókkal rendelkezik, amelyek lehetővé teszik parancsok fogadását és végrehajtását egy távoli szerverről, fájlok átvitelét, fordított shell indítását, vágólapadatok és billentyűleütések gyűjtését, valamint proxyként való működést.
Az Andariel APT telepítette a Dora RAT-ot a kompromittált eszközökre
A támadások Dora RAT néven ismert hátsó ajtót alkalmaztak, amely korábban nem volt dokumentálva. Egyszerű rosszindulatú programként jellemzi, amely a shell-műveletek fordított műveleteihez és fájlátviteli képességekhez is alkalmas.
Ezenkívül a támadó érvényes tanúsítványt használt a Dora RAT rosszindulatú program aláírására és terjesztésére. A megerősítések azt mutatják, hogy a támadásokban használt Dora RAT bizonyos törzseit egy Egyesült Királyságbeli szoftverfejlesztőnek kiállított legitim tanúsítvánnyal írták alá.
Az ezekben a támadásokban alkalmazott rosszindulatú programtörzsek között megtalálható a Nestdoor egy egyszerűsített változatán keresztül bevezetett keylogger, valamint egy speciális adatlopó komponens és egy SOCKS5 proxy eszköz, amely hasonlóságot mutat a Lazarus Group által a 2021-es ThreatNeedle -ben használt eszközzel. kampány.
Az Andariel csoport a Koreában működő egyik legaktívabb fenyegetési szereplőként emelkedik ki a Kimsuky és a Lazarus csoportok mellett. Kezdetben a nemzetbiztonsággal kapcsolatos információgyűjtésre összpontosítottak, majd kiterjesztették hatókörüket a pénzügyi indíttatású támadásokra is.
A patkányfertőzések pusztító következményekkel járhatnak az áldozatok számára
A távoli hozzáférésű trójaiak (RAT) tolakodó és titkos természetük miatt pusztító következményekkel járhatnak az áldozatokra nézve. Íme, miért:
- Jogosulatlan hozzáférés : A RAT-ok korlátlan hozzáférést biztosítanak a támadóknak a fertőzött rendszerekhez. Ez a hozzáférés lehetővé teszi számukra, hogy parancsokat hajtsanak végre, szoftvereket telepítsenek vagy távolítsanak el, módosítsák a fájlokat, és távolról módosítsák a rendszerbeállításokat, lényegében teljes irányítást biztosítva számukra az áldozat eszköze felett.
- Adatlopás és megfigyelés : A RAT-ok gyakran tartalmaznak olyan funkciókat, mint a billentyűnaplózás, a képernyőrögzítés és a webkamera-eltérítés, amelyek lehetővé teszik a támadók számára, hogy valós időben figyeljék az áldozatok tevékenységét. Ez a felügyeleti képesség lehetővé teszi az érzékeny információk, például jelszavak, pénzügyi adatok, személyes beszélgetések és szellemi tulajdon ellopását.
- Rendszerkompromittálás : A RAT-ok veszélyeztethetik a fertőzött rendszerek integritását és működését. A támadók letilthatják a biztonsági szoftvereket, megváltoztathatják a rendszer konfigurációját, vagy akár további kártevőket is telepíthetnek, ami a rendszer instabilitásához, adatsérüléshez és a termelékenység csökkenéséhez vezethet.
- Terjedés és hálózati kompromisszum : A RAT-ok elősegíthetik a rosszindulatú programok terjedését a hálózaton belül. Ha egyetlen eszköz megfertőződött, a támadók indítópultként használhatják a feltört rendszert, hogy behatoljanak más csatlakoztatott eszközökbe, kiszolgálókra vagy infrastruktúra-összetevőkbe, ami széles körű károkat és fennakadásokat okozhat.
- Hosszú távú perzisztencia : A RAT-okat úgy tervezték, hogy fenntartsák a fertőzött rendszerekhez való folyamatos hozzáférést. Még akkor is, ha a kezdeti észlelési és eltávolítási kísérletek sikeresek, a támadók újratelepíthetik vagy újraaktiválhatják a rosszindulatú programot, biztosítva ezzel a folyamatos hozzáférést és a feltört eszközök feletti ellenőrzést hosszabb ideig.
- Hírnévkárosodás és jogi következmények : A sikeres RAT-támadás súlyos következményekkel járhat az áldozatokra nézve, beleértve a jó hírnevük károsodását, az ügyfelek bizalmának elvesztését és a jogi felelősséget. Az érzékeny adatok megsértése hatósági bírságot, pert és egyéb jogi következményeket vonhat maga után, tovább rontva az érintett szervezetek hírnevét és pénzügyi hatását.
Összefoglalva, a RAT-fertőzések jelentős fenyegetést jelentenek az áldozatokra, a jogosulatlan hozzáféréstől és az adatlopástól a rendszer kompromittálásáig, a hálózat terjedéséig és a hosszú távú fennmaradásig. A proaktív kiberbiztonsági intézkedések, beleértve a rendszeres szoftverfrissítéseket, a robusztus végpontvédelmet, a felhasználói tudatosságot növelő képzést és az incidensre adott válaszok tervezését, elengedhetetlenek a RAT-támadásokkal kapcsolatos kockázatok csökkentése érdekében.
