Multi-License Discount Quote
Hotdatabas Remote Administration Tools Dora RAT

Dora RAT

Med Mezo år Remote Administration Tools, Advanced Persistent Threat (APT)
Översätt till:
Svenska

Den Nordkorea-kopplade hotaktören känd som Andariel har observerats använda en ny Golang-baserad bakdörr som heter Dora RAT i sina attacker mot utbildningsinstitutioner, tillverkningsföretag och byggföretag i Sydkorea. Keylogger, infostealer och proxyverktyg ovanpå bakdörren användes för attackerna. Hotaktören använde förmodligen dessa skadliga stammar för att kontrollera och stjäla data från de infekterade systemen.

Attackerna kännetecknas av användningen av en sårbar Apache Tomcat-server för att distribuera skadlig programvara, tillade det sydkoreanska cybersäkerhetsföretaget och noterade att systemet i fråga körde 2013 års version av Apache Tomcat, vilket gör det mottagligt för flera sårbarheter.

Andariel APT är en stor skådespelare i cyberbrottsscenen

Andariel , även känd under alias som Nicket Hyatt, Onyx Sleet och Silent Chollima, utgör en Advanced PersistentThreat-grupp (APT) som är i linje med Nordkoreas strategiska mål sedan åtminstone 2008.

Denna motståndare, som är en fraktion inom den omfattande Lazarus-gruppen , visar en historia av att ha använt spjutfiske, vattenhålsattacker och utnyttjande av kända sårbarheter i programvara för att få första åtkomst och sprida skadlig programvara över riktade nätverk.

Även om detaljerna angående attackmetoden för distribution av skadlig programvara inte avslöjades av forskare, framhölls det att en variant av den etablerade Nestdoor skadlig programvara användes. Denna variant har funktioner som gör att den kan ta emot och utföra kommandon från en fjärrserver, överföra filer, initiera ett omvänt skal, samla in urklippsdata och tangenttryckningar och fungera som en proxy.

Andariel APT distribuerade Dora RAT till komprometterade enheter

Attackerna använde en hemlig bakdörr känd som Dora RAT, tidigare odokumenterad. Den karakteriseras som enkel skadlig programvara med funktioner för omvänd skaloperation och filöverföringsmöjligheter.

Dessutom har angriparen använt ett giltigt certifikat för att signera och distribuera Dora RAT malware. Bekräftelser tyder på att vissa stammar av Dora RAT som användes i attackerna signerades med ett legitimt certifikat utfärdat till en mjukvaruutvecklare i Storbritannien.

Bland sortimentet av skadlig programvara som används i dessa attacker, finns det en keylogger som introduceras genom en strömlinjeformad variant av Nestdoor, tillsammans med en specialiserad datastöldkomponent och ett SOCKS5 proxyverktyg som delar likheter med ett som användes av Lazarus Group i 2021 ThreatNeedle kampanj.

Andariel-gruppen utmärker sig som en av de mest aktiva hotaktörerna som verkar i Korea, tillsammans med grupperna Kimsuky och Lazarus. Inledningsvis fokuserade de på att samla in underrättelser om nationell säkerhet, de har utökat sin omfattning till att omfatta ekonomiskt motiverade attacker.

RATT-infektioner kan leda till förödande konsekvenser för offer

Fjärråtkomsttrojaner (RAT) kan orsaka förödande konsekvenser för offer på grund av deras påträngande och hemliga natur. Här är varför:

  • Obehörig åtkomst : RAT:er ger angripare obegränsad åtkomst till infekterade system. Denna åtkomst gör det möjligt för dem att utföra kommandon, installera eller avinstallera programvara, ändra filer och fjärrmanipulera systeminställningar, vilket i huvudsak ger dem full kontroll över offrets enhet.
  • Datastöld och övervakning : RAT:er inkluderar ofta funktioner som tangentloggning, skärmfångst och webbkamerakapning, vilket gör att angripare kan övervaka offrens aktiviteter i realtid. Denna övervakningsfunktion möjliggör stöld av känslig information, inklusive lösenord, ekonomiska data, personliga samtal och immateriella rättigheter.
  • Systemkompromiss : RAT:er kan äventyra integriteten och funktionaliteten hos infekterade system. Angripare kan inaktivera säkerhetsprogramvara, ändra systemkonfigurationer eller till och med distribuera ytterligare skadlig programvara, vilket leder till systeminstabilitet, datakorruption och förlust av produktivitet.
  • Spridning och nätverkskompromiss : RAT kan underlätta spridningen av skadlig programvara inom ett nätverk. När en enskild enhet väl är infekterad kan angripare använda det komprometterade systemet som en startplatta för att infiltrera andra anslutna enheter, servrar eller infrastrukturkomponenter, vilket potentiellt kan orsaka omfattande skada och störningar.
  • Långsiktig persistens : RATs är utformade för att upprätthålla beständig åtkomst till infekterade system. Även om första upptäckt och borttagningsförsök lyckas, kan angripare installera om eller återaktivera skadlig programvara, vilket säkerställer fortsatt åtkomst och kontroll över komprometterade enheter under längre perioder.
  • Skada på rykte och juridiska konsekvenser : En framgångsrik RAT-attack kan få allvarliga återverkningar för offren, inklusive skada på deras rykte, förlust av kundernas förtroende och juridiskt ansvar. Brott mot känslig information kan leda till böter, stämningar och andra rättsliga konsekvenser, vilket ytterligare förvärrar rykte och ekonomiska konsekvenser för berörda organisationer.

Sammanfattningsvis utgör RAT-infektioner betydande hot mot offer, allt från obehörig åtkomst och datastöld till systemkompromisser, nätverksspridning och långvarig persistens. Proaktiva cybersäkerhetsåtgärder, inklusive regelbundna mjukvaruuppdateringar, robust slutpunktsskydd, utbildning i användarmedvetenhet och incidentresponsplanering, är ett måste för att minska riskerna i samband med RAT-attacker.

Trendigt

Mest sedda

Läser in...