Dora RAT
Es wurde beobachtet, dass der mit Nordkorea verbundene Bedrohungsakteur, bekannt als Andariel, bei seinen Angriffen auf Bildungseinrichtungen, Fertigungsunternehmen und Bauunternehmen in Südkorea eine neue Golang-basierte Hintertür namens Dora RAT verwendete. Für die Angriffe wurden zusätzlich zur Hintertür Keylogger-, Infostealer- und Proxy-Tools eingesetzt. Der Bedrohungsakteur nutzte diese Malware-Stämme wahrscheinlich, um die infizierten Systeme zu kontrollieren und Daten von ihnen zu stehlen.
Die Angriffe zeichnen sich dadurch aus, dass zur Verbreitung der Schadsoftware ein anfälliger Apache Tomcat-Server ausgenutzt wird, fügte das südkoreanische Cybersicherheitsunternehmen hinzu und merkte an, dass auf dem betreffenden System die Version von Apache Tomcat aus dem Jahr 2013 lief, was es für mehrere Schwachstellen anfällig mache.
Inhaltsverzeichnis
Der Andariel APT ist ein wichtiger Akteur in der Cybercrime-Szene
Andariel , auch bekannt unter Pseudonymen wie Nicket Hyatt, Onyx Sleet und Silent Chollima, ist eine Advanced Persistent Threat (APT)-Gruppe, die seit mindestens 2008 auf die strategischen Ziele Nordkoreas ausgerichtet ist.
Dieser Gegner ist eine Fraktion innerhalb der großen Lazarus-Gruppe und hat in der Vergangenheit bereits Spear-Phishing und Watering-Hole-Angriffe eingesetzt und bekannte Software-Schwachstellen ausgenutzt, um sich erstmalig Zugriff zu verschaffen und Malware in den Zielnetzwerken zu verbreiten.
Während die Forscher keine Einzelheiten zur Angriffsmethode für die Bereitstellung der Malware bekannt gaben, wurde hervorgehoben, dass eine Variante der etablierten Nestdoor-Malware verwendet wurde. Diese Variante verfügt über Funktionen, die es ihr ermöglichen, Befehle von einem Remote-Server zu empfangen und auszuführen, Dateien zu übertragen, eine Reverse Shell zu initiieren, Zwischenablagedaten und Tastatureingaben zu sammeln und als Proxy zu fungieren.
Der Andariel APT hat den Dora RAT auf kompromittierten Geräten eingesetzt
Bei den Angriffen wurde eine bislang nicht näher beschriebene Hintertür namens Dora RAT verwendet. Sie ist als einfache Malware mit Funktionen für Reverse-Shell-Operationen und Dateiübertragungsfunktionen gekennzeichnet.
Darüber hinaus hat der Angreifer ein gültiges Zertifikat verwendet, um die Dora RAT-Malware zu signieren und zu verteilen. Bestätigungen deuten darauf hin, dass bestimmte bei den Angriffen verwendete Dora RAT-Varianten mit einem gültigen Zertifikat signiert waren, das einem Softwareentwickler im Vereinigten Königreich ausgestellt wurde.
Zu den verschiedenen Schadsoftwaretypen, die bei diesen Angriffen zum Einsatz kamen, gehören ein Keylogger, der über eine abgespeckte Variante von Nestdoor eingeführt wurde, eine spezielle Komponente zum Datendiebstahl und ein SOCKS5-Proxy-Tool, das Ähnlichkeiten mit einem Tool aufweist, das von der Lazarus Group in der ThreatNeedle- Kampagne 2021 eingesetzt wurde.
Die Andariel-Gruppe ist neben den Gruppen Kimsuky und Lazarus einer der aktivsten Bedrohungsakteure in Korea. Ursprünglich konzentrierten sie sich auf das Sammeln von Informationen zur nationalen Sicherheit, haben ihren Wirkungsbereich jedoch auf finanziell motivierte Angriffe ausgeweitet.
RAT-Infektionen können verheerende Folgen für die Opfer haben
Remote Access Trojans (RATs) können aufgrund ihrer aufdringlichen und heimlichen Natur verheerende Folgen für Opfer haben. Hier ist der Grund:
- Unbefugter Zugriff : RATs gewähren Angreifern uneingeschränkten Zugriff auf infizierte Systeme. Dieser Zugriff ermöglicht es ihnen, Befehle auszuführen, Software zu installieren oder zu deinstallieren, Dateien zu ändern und Systemeinstellungen aus der Ferne zu manipulieren, was ihnen im Wesentlichen die vollständige Kontrolle über das Gerät des Opfers gibt.
- Datendiebstahl und Überwachung : RATs enthalten häufig Funktionen wie Keylogging, Bildschirmaufzeichnung und Webcam-Hijacking, sodass Angreifer die Aktivitäten der Opfer in Echtzeit überwachen können. Diese Überwachungsfunktion ermöglicht den Diebstahl vertraulicher Informationen, darunter Passwörter, Finanzdaten, persönliche Gespräche und geistiges Eigentum.
- Systemkompromittierung : RATs können die Integrität und Funktionalität infizierter Systeme beeinträchtigen. Angreifer können Sicherheitssoftware deaktivieren, Systemkonfigurationen ändern oder sogar zusätzliche Malware-Payloads bereitstellen, was zu Systeminstabilität, Datenbeschädigung und Produktivitätsverlust führen kann.
- Verbreitung und Netzwerkkompromittierung : RATs können die Verbreitung von Malware innerhalb eines Netzwerks erleichtern. Sobald ein einzelnes Gerät infiziert ist, können Angreifer das kompromittierte System als Startrampe verwenden, um andere verbundene Geräte, Server oder Infrastrukturkomponenten zu infiltrieren und so möglicherweise weitreichende Schäden und Störungen zu verursachen.
- Langfristige Persistenz : RATs sind darauf ausgelegt, dauerhaften Zugriff auf infizierte Systeme zu gewährleisten. Selbst wenn anfängliche Erkennungs- und Entfernungsversuche erfolgreich sind, können Angreifer die Malware neu installieren oder reaktivieren und sich so über längere Zeiträume Zugriff und Kontrolle über infizierte Geräte sichern.
- Reputationsschäden und rechtliche Konsequenzen : Ein erfolgreicher RAT-Angriff kann für die Opfer schwerwiegende Folgen haben, darunter Reputationsschäden, Verlust des Kundenvertrauens und rechtliche Haftung. Verstöße gegen vertrauliche Daten können zu Geldbußen, Klagen und anderen rechtlichen Konsequenzen führen, was die Reputationsschäden und finanziellen Auswirkungen auf die betroffenen Organisationen noch weiter verschärft.
Zusammenfassend lässt sich sagen, dass RAT-Infektionen erhebliche Gefahren für die Opfer darstellen, die von unbefugtem Zugriff und Datendiebstahl bis hin zu Systemkompromittierung, Netzwerkausbreitung und langfristiger Persistenz reichen. Proaktive Cybersicherheitsmaßnahmen, darunter regelmäßige Softwareupdates, robuster Endpunktschutz, Schulungen zur Sensibilisierung der Benutzer und Planung der Reaktion auf Vorfälle, sind ein Muss, um die mit RAT-Angriffen verbundenen Risiken zu mindern.
