Multi-License Discount Quote
Données concernant les menaces Remote Administration Tools Dora RAT

Dora RAT

Par Mezo en Remote Administration Tools, Advanced Persistent Threat (APT)
Se traduisent par :
Français

L'acteur menaçant lié à la Corée du Nord, connu sous le nom d'Andariel, a été observé en train d'utiliser une nouvelle porte dérobée basée sur Golang appelée Dora RAT dans ses attaques ciblant des établissements d'enseignement, des entreprises manufacturières et des entreprises de construction en Corée du Sud. Des outils Keylogger, Infostealer et proxy au-dessus de la porte dérobée ont été utilisés pour les attaques. L’acteur malveillant a probablement utilisé ces souches de logiciels malveillants pour contrôler et voler les données des systèmes infectés.

Les attaques se caractérisent par l'utilisation d'un serveur Apache Tomcat vulnérable pour distribuer le malware, a ajouté la société de cybersécurité sud-coréenne, soulignant que le système en question exécutait la version 2013 d'Apache Tomcat, ce qui le rendait vulnérable à plusieurs vulnérabilités.

L'APT Andariel est un acteur majeur de la scène de la cybercriminalité

Andariel , également connu sous des pseudonymes tels que Nicket Hyatt, Onyx Sleet et Silent Chollima, constitue un groupe Advanced PersistentThreat (APT) aligné sur les objectifs stratégiques de la Corée du Nord depuis au moins 2008.

Faction au sein du vaste groupe Lazarus , cet adversaire démontre un historique d'utilisation du spear phishing, d'attaques de points d'eau et d'exploitation de vulnérabilités logicielles connues pour obtenir un accès initial et diffuser des logiciels malveillants sur les réseaux ciblés.

Bien que les chercheurs n'aient pas divulgué les détails concernant la méthodologie d'attaque pour le déploiement de logiciels malveillants, il a été souligné qu'une variante du logiciel malveillant Nestdoor établi avait été utilisée. Cette variante possède des fonctionnalités lui permettant de recevoir et d'exécuter des commandes d'un serveur distant, de transférer des fichiers, de lancer un shell inverse, de collecter les données du presse-papiers et les frappes au clavier et de fonctionner comme un proxy.

L'Andariel APT a déployé le Dora RAT sur des appareils compromis

Les attaques ont utilisé une porte dérobée non divulguée connue sous le nom de Dora RAT, jusqu'alors non documentée. Il se caractérise comme un malware simple doté de fonctionnalités d’opérations shell inversées et de capacités de transfert de fichiers.

De plus, l'attaquant a utilisé un certificat valide pour signer et distribuer le malware Dora RAT. Les confirmations indiquent que certaines souches du Dora RAT utilisées dans les attaques ont été signées avec un certificat légitime délivré à un développeur de logiciels au Royaume-Uni.

Parmi l'assortiment de souches de logiciels malveillants déployées dans ces attaques, il existe un enregistreur de frappe introduit via une variante simplifiée de Nestdoor, ainsi qu'un composant spécialisé de vol de données et un outil proxy SOCKS5 qui partage des similitudes avec celui utilisé par le groupe Lazarus dans le ThreatNeedle 2021. campagne.

Le groupe Andariel s’impose comme l’un des acteurs menaçants les plus actifs opérant en Corée, aux côtés des groupes Kimsuky et Lazarus. Initialement axées sur la collecte de renseignements concernant la sécurité nationale, elles ont élargi leur champ d'action pour inclure les attaques à motivation financière.

Les infections à RAT pourraient avoir des conséquences dévastatrices pour les victimes

Les chevaux de Troie d'accès à distance (RAT) peuvent avoir des conséquences dévastatrices sur les victimes en raison de leur nature intrusive et clandestine. Voici pourquoi:

  • Accès non autorisé : les RAT accordent aux attaquants un accès illimité aux systèmes infectés. Cet accès leur permet d'exécuter des commandes, d'installer ou de désinstaller des logiciels, de modifier des fichiers et de manipuler les paramètres du système à distance, leur donnant essentiellement un contrôle total sur l'appareil de la victime.
  • Vol de données et surveillance : les RAT incluent souvent des fonctionnalités telles que l'enregistrement au clavier, la capture d'écran et le détournement de webcam, permettant aux attaquants de surveiller les activités des victimes en temps réel. Cette capacité de surveillance permet le vol d'informations sensibles, notamment des mots de passe, des données financières, des conversations personnelles et de la propriété intellectuelle.
  • Compromission du système : les RAT peuvent compromettre l'intégrité et la fonctionnalité des systèmes infectés. Les attaquants peuvent désactiver les logiciels de sécurité, modifier les configurations du système ou même déployer des charges utiles de logiciels malveillants supplémentaires, entraînant une instabilité du système, une corruption des données et une perte de productivité.
  • Propagation et compromission du réseau : les RAT peuvent faciliter la propagation de logiciels malveillants au sein d'un réseau. Une fois qu'un seul appareil est infecté, les attaquants peuvent utiliser le système compromis comme rampe de lancement pour infiltrer d'autres appareils connectés, serveurs ou composants d'infrastructure, provoquant potentiellement des dommages et des perturbations généralisés.
  • Persistance à long terme : les RAT sont conçus pour maintenir un accès persistant aux systèmes infectés. Même si les premières tentatives de détection et de suppression réussissent, les attaquants peuvent réinstaller ou réactiver le logiciel malveillant, garantissant ainsi un accès et un contrôle continus sur les appareils compromis pendant des périodes prolongées.
  • Dommages à la réputation et conséquences juridiques : une attaque RAT réussie peut avoir de graves répercussions pour les victimes, notamment des dommages à leur réputation, une perte de confiance des clients et des responsabilités juridiques. Les violations de données sensibles peuvent entraîner des amendes réglementaires, des poursuites et d'autres conséquences juridiques, exacerbant encore l'impact sur la réputation et les finances des organisations concernées.

En résumé, les infections RAT représentent des menaces importantes pour les victimes, allant de l'accès non autorisé et du vol de données à la compromission du système, à la propagation du réseau et à la persistance à long terme. Des mesures proactives de cybersécurité, notamment des mises à jour logicielles régulières, une protection robuste des points finaux, une formation de sensibilisation des utilisateurs et une planification de la réponse aux incidents, sont indispensables pour atténuer les risques associés aux attaques RAT.

Tendance

Le plus regardé

Chargement...