Dora RAT

Ar Ziemeļkoreju saistītais draudu aktieris, kas pazīstams kā Andariels, tika novērots, izmantojot jaunas Golangas aizmugures durvis ar nosaukumu Dora RAT savos uzbrukumos, kas vērsti pret izglītības iestādēm, ražošanas uzņēmumiem un būvniecības uzņēmumiem Dienvidkorejā. Uzbrukumiem tika izmantoti Keylogger, infostealer un starpniekservera rīki, kas atrodas aizmugurējā durvīm. Draudi aktieris, iespējams, izmantoja šos ļaunprogrammatūras celmus, lai kontrolētu un nozagtu datus no inficētajām sistēmām.

Uzbrukumiem ir raksturīga ievainojama Apache Tomcat servera izmantošana ļaunprātīgas programmatūras izplatīšanai, piebilda Dienvidkorejas kiberdrošības uzņēmums, norādot, ka attiecīgajā sistēmā tika izmantota Apache Tomcat 2013. gada versija, padarot to jutīgu pret vairākām ievainojamībām.

Andariel APT ir nozīmīgs aktieris kibernoziegumu jomā

Andariel , kas pazīstams arī ar tādiem aizstājvārdiem kā Nicket Hyatt, Onyx Sleet un Silent Chollima, veido Advanced PersistentThreat (APT) grupu, kas ir saskaņota ar Ziemeļkorejas stratēģiskajiem mērķiem vismaz kopš 2008. gada.

Šis ienaidnieks, kas ir plašās Lazarus grupas frakcija, demonstrē šķēpu pikšķerēšanas, uzbrukumu un zināmo programmatūras ievainojamību izmantošanas vēsturi, lai iegūtu sākotnējo piekļuvi un izplatītu ļaunprātīgu programmatūru mērķtīklos.

Lai gan pētnieki neatklāja specifiku attiecībā uz ļaunprātīgas programmatūras izvietošanas uzbrukuma metodoloģiju, tika uzsvērts, ka tika izmantots izveidotās Nestdoor ļaunprātīgās programmatūras variants. Šim variantam ir funkcijas, kas ļauj saņemt un izpildīt komandas no attālā servera, pārsūtīt failus, iniciēt reverso apvalku, vākt starpliktuves datus un taustiņu nospiešanu un darboties kā starpniekserveris.

Andariel APT izvietoja Dora RAT apdraudētajās ierīcēs

Uzbrukumos tika izmantotas neatklātas aizmugures durvis, kas pazīstamas kā Dora RAT, kas iepriekš nebija dokumentētas. To raksturo kā vienkāršu ļaunprātīgu programmatūru ar funkcionalitāti apgrieztām čaulas darbībām un failu pārsūtīšanas iespējām.

Turklāt uzbrucējs ir izmantojis derīgu sertifikātu, lai parakstītu un izplatītu ļaunprātīgu programmatūru Dora RAT. Apstiprinājumi liecina, ka daži uzbrukumos izmantotie Dora RAT celmi tika parakstīti ar likumīgu sertifikātu, kas izsniegts programmatūras izstrādātājam Apvienotajā Karalistē.

Šajos uzbrukumos izmantoto ļaunprātīgas programmatūras veidu klāsts ir taustiņu bloķētājs, kas ieviests, izmantojot modernizētu Nestdoor variantu, kā arī specializēts datu zagšanas komponents un SOCKS5 starpniekservera rīks, kam ir līdzības ar Lazarus grupas izmantoto 2021. gada ThreatNeedle . kampaņa.

Grupa Andariel izceļas kā viena no aktīvākajām draudu izraisītājiem, kas darbojas Korejā līdzās Kimsuky un Lazarus grupām. Sākotnēji koncentrējoties uz izlūkdatu vākšanu par valsts drošību, viņi ir paplašinājuši savu darbības jomu, iekļaujot finansiāli motivētus uzbrukumus.

Žurku infekcijas upuriem var izraisīt postošas sekas

Attālās piekļuves Trojas zirgi (RAT) var radīt postošas sekas upuriem to uzmācīgā un slepenā rakstura dēļ. Lūk, kāpēc:

• Neatļauta piekļuve : RAT nodrošina uzbrucējiem neierobežotu piekļuvi inficētām sistēmām. Šī piekļuve ļauj viņiem izpildīt komandas, instalēt vai atinstalēt programmatūru, modificēt failus un attālināti manipulēt ar sistēmas iestatījumiem, būtībā dodot viņiem pilnīgu kontroli pār upura ierīci.
• Datu zādzība un uzraudzība : RAT bieži ietver tādas funkcijas kā taustiņu reģistrēšana, ekrāna tveršana un tīmekļa kameras nolaupīšana, ļaujot uzbrucējiem reāllaikā pārraudzīt upuru darbības. Šī novērošanas iespēja ļauj nozagt sensitīvu informāciju, tostarp paroles, finanšu datus, personiskās sarunas un intelektuālo īpašumu.
• Sistēmas kompromiss : RAT var apdraudēt inficēto sistēmu integritāti un funkcionalitāti. Uzbrucēji var atspējot drošības programmatūru, mainīt sistēmas konfigurācijas vai pat izvietot papildu ļaunprātīgas programmatūras slodzes, izraisot sistēmas nestabilitāti, datu bojājumus un produktivitātes zudumu.
• Izplatība un tīkla kompromiss : RAT var veicināt ļaunprātīgas programmatūras izplatīšanos tīklā. Kad viena ierīce ir inficēta, uzbrucēji var izmantot kompromitēto sistēmu kā palaišanas bloku, lai iefiltrētos citās savienotajās ierīcēs, serveros vai infrastruktūras komponentos, tādējādi radot plašus bojājumus un traucējumus.
• Ilgtermiņa noturība : RAT ir paredzēti, lai uzturētu pastāvīgu piekļuvi inficētām sistēmām. Pat ja sākotnējie noteikšanas un noņemšanas mēģinājumi ir veiksmīgi, uzbrucēji var atkārtoti instalēt vai aktivizēt ļaunprātīgu programmatūru, nodrošinot nepārtrauktu piekļuvi un kontroli pār apdraudētām ierīcēm ilgstoši.
• Reputācijas kaitējums un juridiskās sekas : veiksmīgam RAT uzbrukumam var būt nopietnas sekas upuriem, tostarp kaitējums viņu reputācijai, klientu uzticības zaudēšana un juridiskās saistības. Sensitīvu datu pārkāpumi var izraisīt regulējošus naudas sodus, tiesas prāvas un citas juridiskas sekas, vēl vairāk saasinot ietekmēto organizāciju reputāciju un finansiālo ietekmi.

Rezumējot, RAT infekcijas rada ievērojamus draudus upuriem, sākot no nesankcionētas piekļuves un datu zādzībām līdz sistēmas kompromitēšanai, tīkla izplatībai un ilgstošai noturībai. Lai mazinātu ar RAT uzbrukumiem saistītos riskus, obligāti jāveic proaktīvi kiberdrošības pasākumi, tostarp regulāri programmatūras atjauninājumi, stabila galapunktu aizsardzība, lietotāju informētības apmācība un reaģēšanas uz incidentiem plānošana.