朵拉老鼠
據觀察,與北韓有關的威脅行為者 Andariel 在針對韓國的教育機構、製造公司和建築企業的攻擊中使用了一種名為 Dora RAT 的新的基於 Golang 的後門。後門之上的鍵盤記錄器、資訊竊取器和代理工具被用於攻擊。威脅行為者可能使用這些惡意軟體菌株來控制和竊取受感染系統的資料。
這家韓國網路安全公司補充說,這些攻擊的特點是使用易受攻擊的 Apache Tomcat 伺服器來分發惡意軟體,並指出該系統運行的是 2013 版 Apache Tomcat,因此容易受到多個漏洞的影響。
目錄
Andariel APT 是網路犯罪現場的主要參與者
Andariel ,也被稱為 Nicket Hyatt、Onyx Sleet 和 Silent Chollima 等別名,至少自 2008 年起就組成了一個與朝鮮戰略目標一致的高級持續威脅 (APT) 組織。
該對手是龐大的Lazarus Group中的一個派系,擁有使用魚叉式網路釣魚、水坑攻擊以及利用已知軟體漏洞來獲得初始存取權限並在目標網路中傳播惡意軟體的歷史。
雖然研究人員沒有透露有關惡意軟體部署的攻擊方法的具體信息,但有人強調,使用了已建立的 Nestdoor 惡意軟體的變體。此變體具有的功能使其能夠從遠端伺服器接收和執行命令、傳輸檔案、啟動反向 shell、收集剪貼簿資料和按鍵以及作為代理運行。
Andariel APT 將 Dora RAT 部署到受感染設備
這些攻擊使用了一個未公開的後門,稱為 Dora RAT,此前沒有記錄。它的特點是簡單的惡意軟體,具有反向 shell 操作和檔案傳輸功能。
此外,攻擊者還利用有效憑證來簽署和分發 Dora RAT 惡意軟體。確認表明攻擊中使用的某些 Dora RAT 菌株是使用向英國軟體開發商頒發的合法證書進行簽署的。
在這些攻擊中部署的惡意軟體品種中,有一個透過 Nestdoor 的簡化變體引入的鍵盤記錄器,以及一個專門的資料竊取元件和一個 SOCKS5 代理工具,該工具與 Lazarus 組織在 2021 年ThreatNeedle中使用的工具有相似之處活動。
Andariel 組織與 Kimsuky 和 Lazarus 組織一樣,是韓國最活躍的威脅組織之一。他們最初專注於收集有關國家安全的情報,後來擴大了範圍,包括出於經濟動機的攻擊。
老鼠感染可能會為受害者帶來毀滅性的後果
遠端存取特洛伊木馬 (RAT) 因其侵入性和隱蔽性而可能給受害者造成毀滅性後果。原因如下:
- 未經授權的存取:RAT 允許攻擊者不受限制地存取受感染的系統。這種存取權限使他們能夠執行命令、安裝或卸載軟體、修改檔案以及遠端操縱系統設置,從本質上使他們能夠完全控制受害者的設備。
- 資料竊取和監視:RAT 通常包括鍵盤記錄、螢幕擷取和網路攝影機劫持等功能,使攻擊者能夠即時監視受害者的活動。這種監視功能可以竊取敏感訊息,包括密碼、財務資料、個人對話和智慧財產權。
- 系統危害:RAT 可能危害受感染系統的完整性和功能。攻擊者可能會停用安全軟體、更改系統配置,甚至部署額外的惡意軟體有效負載,從而導致系統不穩定、資料損壞和生產力損失。
- 傳播與網路危害:RAT 可以促進惡意軟體在網路內的傳播。一旦單一設備被感染,攻擊者就可以使用受感染的系統作為啟動板來滲透其他連接的設備、伺服器或基礎設施元件,這可能造成廣泛的損害和破壞。
- 長期持久性:RAT 旨在維持對受感染系統的持久存取。即使最初的偵測和刪除嘗試成功,攻擊者也可能會重新安裝或重新啟動惡意軟體,從而確保長時間持續存取和控制受感染的裝置。
- 聲譽損害和法律後果:成功的 RAT 攻擊可能會對受害者造成嚴重的影響,包括聲譽受損、失去客戶信任和法律責任。敏感資料的洩露可能會導致監管罰款、訴訟和其他法律後果,進一步加劇受影響組織的聲譽和財務影響。
總之,RAT 感染對受害者構成重大威脅,從未經授權的存取和資料竊取到系統危害、網路傳播和長期持續性。主動的網路安全措施,包括定期軟體更新、強大的端點保護、使用者意識培訓和事件回應計劃,是減輕 RAT 攻擊相關風險的必要措施。
