Dora RAT
Su Šiaurės Korėja susijęs grėsmių veikėjas, žinomas kaip Andariel, buvo pastebėtas naudojant naujas Golango užpakalines duris, pavadintas Dora RAT, per atakas, nukreiptas į švietimo įstaigas, gamybos įmones ir statybos įmones Pietų Korėjoje. Atakoms buvo panaudoti „Keylogger“, „infostealer“ ir tarpiniai įrankiai, esantys užpakalinių durų viršuje. Grėsmės veikėjas tikriausiai naudojo šias kenkėjiškų programų padermes, kad kontroliuotų ir pavogtų duomenis iš užkrėstų sistemų.
Atakoms būdingas pažeidžiamo „Apache Tomcat“ serverio naudojimas kenkėjiškoms programoms platinti, pridūrė Pietų Korėjos kibernetinio saugumo įmonė, pažymėdama, kad nagrinėjamoje sistemoje buvo naudojama 2013 m. „Apache Tomcat“ versija, todėl ji yra jautri keletui pažeidžiamumų.
Turinys
Andariel APT yra pagrindinis kibernetinių nusikaltimų scenos aktorius
Andariel , taip pat žinomas slapyvardžiais, tokiais kaip Nicket Hyatt, Onyx Sleet ir Silent Chollima, yra Advanced PersistentThreat (APT) grupė, atitinkanti Šiaurės Korėjos strateginius tikslus mažiausiai nuo 2008 m.
Šis priešas, priklausantis plačiajai „Lazarus Group“ grupei , demonstruoja sukčiavimo „spear-phishing“, atakų „girdymo duobėmis“ ir žinomų programinės įrangos pažeidžiamumų naudojimo istoriją, kad gautų pradinę prieigą ir platintų kenkėjiškas programas tiksliniuose tinkluose.
Nors tyrėjai neatskleidė kenkėjiškų programų diegimo atakos metodologijos, buvo pabrėžta, kad buvo panaudotas įdiegtos „Nestdoor“ kenkėjiškos programos variantas. Šis variantas turi funkcijas, leidžiančias priimti ir vykdyti komandas iš nuotolinio serverio, perkelti failus, inicijuoti atvirkštinį apvalkalą, rinkti iškarpinės duomenis ir klavišų paspaudimus bei veikti kaip tarpinis serveris.
Andariel APT įdiegė Dora RAT į pažeistus įrenginius
Išpuoliams buvo panaudotos neatskleistos užpakalinės durys, žinomos kaip Dora RAT, anksčiau nebuvo dokumentuotos. Jis apibūdinamas kaip paprasta kenkėjiška programa, turinti atvirkštinių apvalkalo operacijų ir failų perdavimo galimybes.
Be to, užpuolikas naudojo galiojantį sertifikatą, kad galėtų pasirašyti ir platinti Dora RAT kenkėjišką programą. Patvirtinimai rodo, kad tam tikros atakose naudotos Dora RAT atmainos buvo pasirašytos su teisėtu sertifikatu, išduotu programinės įrangos kūrėjui Jungtinėje Karalystėje.
Tarp daugybės kenkėjiškų programų padermių, naudojamų atliekant šias atakas, yra klavišų registratorius, įdiegtas naudojant supaprastintą „Nestdoor“ variantą, kartu su specializuotu duomenų vagystės komponentu ir SOCKS5 tarpinio serverio įrankiu, kuris yra panašus į „Lazarus Group“ naudojamą 2021 m. „ThreatNeedle “. kampanija.
„Andariel“ grupė išsiskiria kaip viena aktyviausių grėsmės veikėjų, veikiančių Korėjoje, šalia „Kimsuky“ ir „Lazarus“ grupių. Iš pradžių jie buvo sutelkę dėmesį į žvalgybos informacijos apie nacionalinį saugumą rinkimą, tačiau išplėtė savo taikymo sritį įtraukdami finansiškai motyvuotus išpuolius.
Žiurkių infekcijos gali sukelti niokojančių pasekmių aukoms
Nuotolinės prieigos Trojos arklys (RAT) gali sukelti niokojančių pasekmių aukoms dėl įkyraus ir slapto pobūdžio. Štai kodėl:
- Neteisėta prieiga : RAT suteikia užpuolikams neribotą prieigą prie užkrėstų sistemų. Ši prieiga leidžia jiems vykdyti komandas, įdiegti arba pašalinti programinę įrangą, keisti failus ir valdyti sistemos nustatymus nuotoliniu būdu, iš esmės suteikiant jiems visišką aukos įrenginio kontrolę.
- Duomenų vagystė ir stebėjimas : RAT dažnai apima tokias funkcijas kaip klaviatūros įrašymas, ekrano fiksavimas ir internetinės kameros užgrobimas, leidžiančios užpuolikams stebėti aukų veiklą realiuoju laiku. Ši stebėjimo galimybė leidžia pavogti neskelbtiną informaciją, įskaitant slaptažodžius, finansinius duomenis, asmeninius pokalbius ir intelektinę nuosavybę.
- Sistemos kompromisas : RAT gali pakenkti užkrėstų sistemų vientisumui ir funkcionalumui. Užpuolikai gali išjungti saugos programinę įrangą, pakeisti sistemos konfigūracijas ar net įdiegti papildomų kenkėjiškų programų, dėl kurių sistema nestabili, sugadinami duomenys ir prarandamas produktyvumas.
- Platinimas ir tinklo kompromisas : RAT gali palengvinti kenkėjiškų programų plitimą tinkle. Kai tik vienas įrenginys yra užkrėstas, užpuolikai gali naudoti pažeistą sistemą kaip paleidimo aparatą, kad galėtų įsiskverbti į kitus prijungtus įrenginius, serverius ar infrastruktūros komponentus, o tai gali sukelti didelę žalą ir trikdžius.
- Ilgalaikis patvarumas : RAT yra skirti nuolatinei prieigai prie užkrėstų sistemų palaikyti. Net jei pirminiai bandymai aptikti ir pašalinti yra sėkmingi, užpuolikai gali iš naujo įdiegti arba iš naujo suaktyvinti kenkėjišką programą, užtikrindami nuolatinę prieigą prie pažeistų įrenginių ir jų valdymą ilgą laiką.
- Žala reputacijai ir teisinės pasekmės : sėkminga RAT ataka gali turėti rimtų pasekmių aukoms, įskaitant žalą jų reputacijai, klientų pasitikėjimo praradimą ir teisinius įsipareigojimus. Už neskelbtinų duomenų pažeidimus gali būti skiriamos baudos, ieškiniai ir kitos teisinės pasekmės, o tai dar labiau padidins paveiktų organizacijų reputaciją ir finansinį poveikį.
Apibendrinant galima pasakyti, kad RAT infekcijos kelia didelę grėsmę aukoms, pradedant nuo neteisėtos prieigos ir duomenų vagystės iki sistemos sugadinimo, tinklo plitimo ir ilgalaikio išlikimo. Norint sumažinti su RAT atakomis susijusią riziką, būtina imtis iniciatyvių kibernetinio saugumo priemonių, įskaitant reguliarius programinės įrangos atnaujinimus, patikimą galinių taškų apsaugą, naudotojų informuotumo mokymą ir reagavimo į incidentus planavimą.
