도라 랫
북한 관련 위협 행위자인 안다리엘(Andariel)이 Dora RAT이라는 새로운 Golang 기반 백도어를 사용하여 한국의 교육 기관, 제조 기업, 건설 기업을 표적으로 삼는 공격이 관찰되었습니다. 공격에는 백도어 외에 키로거, 인포스틸러, 프록시 도구 등이 활용됐다. 위협 행위자는 아마도 이러한 악성 코드 변종을 사용하여 감염된 시스템의 데이터를 제어하고 훔쳤을 것입니다.
한국의 사이버보안 회사는 이번 공격은 취약한 아파치 톰캣 서버를 사용해 악성코드를 배포하는 것이 특징이라며 문제의 시스템이 아파치 톰캣 2013년 버전을 실행해 여러 취약점에 취약하다고 지적했다.
목차
Andariel APT는 사이버 범죄 현장의 주요 행위자입니다.
Nicket Hyatt, Onyx Sleet 및 Silent Chollima와 같은 별칭으로도 알려진 Andariel은 최소한 2008년부터 북한의 전략적 목표에 맞춰진 APT(Advanced PersistantThreat) 그룹을 구성합니다.
광범위한 Lazarus Group 내의 세력인 이 공격자는 스피어 피싱, 워터링 홀 공격을 사용하고 알려진 소프트웨어 취약점을 악용하여 초기 액세스 권한을 얻고 대상 네트워크에 악성 코드를 전파한 이력을 보여줍니다.
연구원들은 악성코드 배포를 위한 공격 방법론에 대해 구체적으로 공개하지 않았지만, 확립된 Nestdoor 악성코드의 변종이 활용되었다는 사실이 부각되었습니다. 이 변종에는 원격 서버로부터 명령을 수신 및 실행하고, 파일을 전송하고, 리버스 셸을 시작하고, 클립보드 데이터 및 키 입력을 수집하고, 프록시로 작동할 수 있는 기능이 있습니다.
Andariel APT는 손상된 장치에 Dora RAT를 배포했습니다.
이 공격에는 이전에 문서화되지 않은 Dora RAT라는 공개되지 않은 백도어가 사용되었습니다. 이는 리버스 셸 작업 및 파일 전송 기능을 갖춘 간단한 악성코드의 특징입니다.
또한 공격자는 Dora RAT 악성코드에 서명하고 배포하기 위해 유효한 인증서를 활용했습니다. 확인 결과, 공격에 사용된 Dora RAT의 특정 변종이 영국의 소프트웨어 개발자에게 발급된 합법적인 인증서로 서명되었음을 나타냅니다.
이러한 공격에 배포된 다양한 악성 코드 변종 중에는 Nestdoor의 간소화된 변종을 통해 도입된 키로거와 특수 데이터 탈취 구성 요소 및 2021년 ThreatNeedle 에서 Lazarus Group이 활용한 것과 유사점을 공유하는 SOCKS5 프록시 도구가 있습니다. 운동.
Andariel 그룹은 Kimsuky 및 Lazarus 그룹과 함께 한국에서 활동하는 가장 활동적인 위협 행위자 중 하나로 돋보입니다. 처음에는 국가 안보에 관한 정보 수집에 중점을 두었지만 금전적인 동기를 지닌 공격까지 포함하도록 범위를 확장했습니다.
RAT 감염은 피해자에게 치명적인 결과를 초래할 수 있습니다
RAT(원격 액세스 트로이 목마)는 침입적이고 은밀한 특성으로 인해 피해자에게 치명적인 결과를 초래할 수 있습니다. 이유는 다음과 같습니다.
- 무단 액세스 : RAT는 공격자에게 감염된 시스템에 대한 무제한 액세스 권한을 부여합니다. 이 액세스를 통해 그들은 명령을 실행하고, 소프트웨어를 설치 또는 제거하고, 파일을 수정하고, 시스템 설정을 원격으로 조작할 수 있어 본질적으로 피해자의 장치에 대한 완전한 제어권을 갖게 됩니다.
- 데이터 도난 및 감시 : RAT에는 키로깅, 화면 캡처, 웹캠 하이재킹 등의 기능이 포함되는 경우가 많아 공격자가 피해자의 활동을 실시간으로 모니터링할 수 있습니다. 이 감시 기능을 통해 비밀번호, 금융 데이터, 개인 대화, 지적 재산 등 민감한 정보를 도난할 수 있습니다.
- 시스템 손상 : RAT는 감염된 시스템의 무결성과 기능을 손상시킬 수 있습니다. 공격자는 보안 소프트웨어를 비활성화하거나, 시스템 구성을 변경하거나, 심지어 추가 악성 코드 페이로드를 배포하여 시스템 불안정, 데이터 손상 및 생산성 손실을 초래할 수 있습니다.
- 전파 및 네트워크 손상 : RAT는 네트워크 내에서 악성 코드의 확산을 촉진할 수 있습니다. 단일 장치가 감염되면 공격자는 손상된 시스템을 실행 패드로 사용하여 연결된 다른 장치, 서버 또는 인프라 구성 요소에 침투하여 잠재적으로 광범위한 피해와 중단을 일으킬 수 있습니다.
- 장기 지속성 : RAT는 감염된 시스템에 대한 지속적인 액세스를 유지하도록 설계되었습니다. 초기 탐지 및 제거 시도가 성공하더라도 공격자는 악성 코드를 다시 설치하거나 재활성화하여 손상된 장치에 대한 지속적인 액세스와 제어를 장기간 보장할 수 있습니다.
- 평판 손상 및 법적 결과 : RAT 공격이 성공하면 평판 손상, 고객 신뢰 상실, 법적 책임 등 피해자에게 심각한 영향을 미칠 수 있습니다. 민감한 데이터가 유출되면 벌금, 소송 및 기타 법적 결과가 초래될 수 있으며, 영향을 받는 조직의 평판 및 재정적 영향은 더욱 악화될 수 있습니다.
요약하면, RAT 감염은 무단 액세스 및 데이터 도난부터 시스템 손상, 네트워크 전파 및 장기적인 지속성에 이르기까지 피해자에게 심각한 위협을 가합니다. RAT 공격과 관련된 위험을 완화하려면 정기적인 소프트웨어 업데이트, 강력한 엔드포인트 보호, 사용자 인식 교육, 사고 대응 계획을 포함한 사전 예방적인 사이버 보안 조치가 필수입니다.
