多拉老鼠
据观察,与朝鲜有关的威胁行为者 Andariel 使用一种新的基于 Golang 的后门 Dora RAT 攻击韩国的教育机构、制造公司和建筑企业。攻击中还使用了后门上的键盘记录器、信息窃取程序和代理工具。威胁行为者可能使用这些恶意软件来控制和窃取受感染系统的数据。
这家韩国网络安全公司补充说,这些攻击的特点是使用存在漏洞的 Apache Tomcat 服务器来传播恶意软件,并指出有问题的系统运行的是 2013 版 Apache Tomcat,因此容易受到多个漏洞的攻击。
目录
Andariel APT 是网络犯罪领域的主力军
Andariel ,又名 Nicket Hyatt、Onyx Sleet 和 Silent Chollima,是一个自 2008 年以来就与朝鲜战略目标保持一致的高级持续威胁 (APT) 组织。
作为庞大的Lazarus Group内的一个派系,该对手曾使用鱼叉式网络钓鱼、水坑攻击以及利用已知软件漏洞来获取初始访问权并在目标网络上传播恶意软件。
虽然研究人员没有透露有关恶意软件部署攻击方法的细节,但有消息称,攻击者使用了已发现的 Nestdoor 恶意软件的一个变种。该变种具有接收和执行远程服务器命令、传输文件、启动反向 shell、收集剪贴板数据和按键以及充当代理的功能。
Andariel APT 将 Dora RAT 部署到受感染的设备中
此次攻击使用了名为 Dora RAT 的未公开后门,此前从未被记录在案。它的特点是具有反向 shell 操作和文件传输功能,是一款简单的恶意软件。
此外,攻击者还利用有效证书签署并分发 Dora RAT 恶意软件。经确认,攻击中使用的某些 Dora RAT 变种是使用颁发给英国软件开发商的合法证书签署的。
在这些攻击中部署的各种恶意软件中,有一个通过 Nestdoor 的精简版本引入的键盘记录器,以及一个专门的数据窃取组件和一个 SOCKS5 代理工具,与 Lazarus Group 在 2021 年ThreatNeedle活动中使用的工具有相似之处。
Andariel 组织是韩国最活跃的威胁行为者之一,与 Kimsuky 和 Lazarus 组织并驾齐驱。该组织最初专注于收集有关国家安全的情报,后来将范围扩大到包括以经济为动机的攻击。
RAT 感染可能给受害者带来灾难性的后果
远程访问木马 (RAT) 具有侵入性和隐秘性,可给受害者造成毁灭性后果。原因如下:
- 未经授权的访问:RAT 允许攻击者不受限制地访问受感染的系统。通过这种访问,他们可以远程执行命令、安装或卸载软件、修改文件和操作系统设置,从而完全控制受害者的设备。
- 数据窃取和监视:RAT 通常具有键盘记录、屏幕捕获和网络摄像头劫持等功能,使攻击者能够实时监视受害者的活动。这种监视功能可以窃取敏感信息,包括密码、财务数据、个人对话和知识产权。
- 系统入侵:RAT 可以破坏受感染系统的完整性和功能。攻击者可能会禁用安全软件、更改系统配置,甚至部署其他恶意软件负载,从而导致系统不稳定、数据损坏和生产力下降。
- 传播和网络入侵:RAT 可促进恶意软件在网络中的传播。一旦单个设备被感染,攻击者便可利用受感染的系统作为启动板,入侵其他连接的设备、服务器或基础设施组件,从而可能造成大面积破坏和中断。
- 长期持久性:RAT 旨在保持对受感染系统的持续访问。即使初始检测和删除尝试成功,攻击者也可能重新安装或重新激活恶意软件,从而确保在较长时间内继续访问和控制受感染的设备。
- 声誉损害和法律后果:成功的 RAT 攻击可能对受害者造成严重影响,包括声誉受损、失去客户信任和法律责任。敏感数据泄露可能导致监管罚款、诉讼和其他法律后果,进一步加剧受影响组织的声誉和财务影响。
总而言之,RAT 感染对受害者构成重大威胁,包括未经授权的访问和数据盗窃、系统入侵、网络传播和长期持久性。主动的网络安全措施,包括定期软件更新、强大的端点保护、用户意识培训和事件响应计划,都是减轻与 RAT 攻击相关的风险的必备措施。
