Dora RAT
Er is waargenomen dat de aan Noord-Korea gelieerde dreigingsactor, bekend als Andariel, een nieuwe, op Golang gebaseerde achterdeur genaamd Dora RAT gebruikt bij zijn aanvallen op onderwijsinstellingen, productiebedrijven en bouwbedrijven in Zuid-Korea. Keylogger, infostealer en proxy-tools bovenop de achterdeur werden voor de aanvallen gebruikt. De bedreigingsacteur heeft deze malwaresoorten waarschijnlijk gebruikt om gegevens van de geïnfecteerde systemen te controleren en te stelen.
De aanvallen worden gekenmerkt door het gebruik van een kwetsbare Apache Tomcat-server om de malware te verspreiden, voegde het Zuid-Koreaanse cyberbeveiligingsbedrijf eraan toe. Het systeem in kwestie draaide op de 2013-versie van Apache Tomcat, waardoor het vatbaar is voor verschillende kwetsbaarheden.
Inhoudsopgave
De Andariel APT is een belangrijke acteur op het gebied van cybercriminaliteit
Andariel , ook bekend onder aliassen als Nicket Hyatt, Onyx Sleet en Silent Chollima, vormt een Advanced PersistentThreat (APT)-groep die zich sinds minstens 2008 aansluit bij de strategische doelstellingen van Noord-Korea.
Deze tegenstander, een factie binnen de uitgebreide Lazarus Group , demonstreert een geschiedenis van het gebruik van spear-phishing, watering hole-aanvallen en het exploiteren van bekende softwarekwetsbaarheden om initiële toegang te verkrijgen en malware te verspreiden via gerichte netwerken.
Hoewel details met betrekking tot de aanvalsmethodologie voor de inzet van malware niet door onderzoekers zijn bekendgemaakt, werd benadrukt dat er een variant van de gevestigde Nestdoor-malware werd gebruikt. Deze variant beschikt over functionaliteiten waarmee hij opdrachten van een externe server kan ontvangen en uitvoeren, bestanden kan overbrengen, een reverse shell kan initiëren, klembordgegevens en toetsaanslagen kan verzamelen en als proxy kan werken.
De Andariel APT heeft de Dora RAT ingezet op gecompromitteerde apparaten
Bij de aanvallen werd gebruik gemaakt van een geheime achterdeur die bekend staat als de Dora RAT en die voorheen niet gedocumenteerd was. Het wordt gekarakteriseerd als eenvoudige malware met functionaliteiten voor reverse shell-bewerkingen en mogelijkheden voor bestandsoverdracht.
Bovendien heeft de aanvaller een geldig certificaat gebruikt om de Dora RAT-malware te ondertekenen en te verspreiden. Uit bevestigingen blijkt dat bepaalde varianten van de Dora RAT die bij de aanvallen zijn gebruikt, zijn ondertekend met een legitiem certificaat dat is afgegeven aan een softwareontwikkelaar in het Verenigd Koninkrijk.
Onder het assortiment malware dat bij deze aanvallen wordt ingezet, bevindt zich een keylogger die is geïntroduceerd via een gestroomlijnde variant van Nestdoor, samen met een gespecialiseerde component voor het stelen van gegevens en een SOCKS5-proxytool die overeenkomsten vertoont met een tool die door de Lazarus Group werd gebruikt in de ThreatNeedle van 2021. campagne.
De Andariel-groep onderscheidt zich als een van de meest actieve dreigingsactoren die in Korea actief zijn, naast de groepen Kimsuky en Lazarus. In eerste instantie gericht op het verzamelen van inlichtingen over de nationale veiligheid, hebben ze hun reikwijdte uitgebreid met financieel gemotiveerde aanvallen.
RAT-infecties kunnen verwoestende gevolgen hebben voor de slachtoffers
Trojaanse paarden voor externe toegang (RAT's) kunnen verwoestende gevolgen hebben voor slachtoffers vanwege hun opdringerige en clandestiene aard. Dit is waarom:
- Ongeautoriseerde toegang : RAT's verlenen aanvallers onbeperkte toegang tot geïnfecteerde systemen. Met deze toegang kunnen ze opdrachten uitvoeren, software installeren of verwijderen, bestanden wijzigen en systeeminstellingen op afstand manipuleren, waardoor ze in feite volledige controle krijgen over het apparaat van het slachtoffer.
- Gegevensdiefstal en -bewaking : RAT's bevatten vaak functies zoals keylogging, schermopname en webcam-kaping, waardoor aanvallers de activiteiten van slachtoffers in realtime kunnen volgen. Deze bewakingsfunctie maakt de diefstal van gevoelige informatie mogelijk, waaronder wachtwoorden, financiële gegevens, persoonlijke gesprekken en intellectueel eigendom.
- Systeemcompromis : RAT's kunnen de integriteit en functionaliteit van geïnfecteerde systemen in gevaar brengen. Aanvallers kunnen beveiligingssoftware uitschakelen, systeemconfiguraties wijzigen of zelfs extra malware-payloads inzetten, wat leidt tot systeeminstabiliteit, gegevenscorruptie en productiviteitsverlies.
- Propagatie en netwerkcompromis : RAT's kunnen de verspreiding van malware binnen een netwerk vergemakkelijken. Zodra een enkel apparaat is geïnfecteerd, kunnen aanvallers het aangetaste systeem gebruiken als startpunt om andere aangesloten apparaten, servers of infrastructuurcomponenten te infiltreren, wat mogelijk wijdverspreide schade en verstoring kan veroorzaken.
- Persistentie op lange termijn : RAT's zijn ontworpen om blijvende toegang tot geïnfecteerde systemen te behouden. Zelfs als de eerste detectie- en verwijderingspogingen succesvol zijn, kunnen aanvallers de malware opnieuw installeren of reactiveren, waardoor de toegang tot en de controle over gecompromitteerde apparaten gedurende langere perioden verzekerd blijft.
- Reputatieschade en juridische gevolgen : Een succesvolle RAT-aanval kan ernstige gevolgen hebben voor de slachtoffers, waaronder reputatieschade, verlies van klantvertrouwen en wettelijke aansprakelijkheid. Inbreuken op gevoelige gegevens kunnen leiden tot boetes van toezichthouders, rechtszaken en andere juridische gevolgen, waardoor de reputatie- en financiële gevolgen voor de getroffen organisaties verder worden verergerd.
Samenvattend vormen RAT-infecties aanzienlijke bedreigingen voor de slachtoffers, variërend van ongeoorloofde toegang en gegevensdiefstal tot systeemcompromis, netwerkpropagatie en persistentie op de lange termijn. Proactieve cyberbeveiligingsmaatregelen, waaronder regelmatige software-updates, robuuste eindpuntbescherming, training in gebruikersbewustzijn en planning van incidentrespons, zijn een must om de risico's die gepaard gaan met RAT-aanvallen te beperken.
