Dora rata

Se ha observado que el actor de amenazas vinculado a Corea del Norte conocido como Andariel utiliza una nueva puerta trasera basada en Golang llamada Dora RAT en sus ataques dirigidos a institutos educativos, empresas manufactureras y empresas de construcción en Corea del Sur. Para los ataques se utilizaron herramientas de keylogger, infostealer y proxy encima de la puerta trasera. El actor de amenazas probablemente utilizó estas cepas de malware para controlar y robar datos de los sistemas infectados.

Los ataques se caracterizan por el uso de un servidor Apache Tomcat vulnerable para distribuir el malware, añadió la firma de ciberseguridad surcoreana, señalando que el sistema en cuestión ejecutaba la versión 2013 de Apache Tomcat, lo que lo hacía susceptible a varias vulnerabilidades.

La APT Andariel es un actor importante en la escena del cibercrimen

Andariel , también conocido por alias como Nicket Hyatt, Onyx Sleet y Silent Chollima, constituye un grupo de Amenaza Persistente Avanzada (APT) alineado con los objetivos estratégicos de Corea del Norte desde al menos 2008.

Este adversario, una facción dentro del extenso Grupo Lazarus , demuestra un historial de empleo de phishing, ataques de abrevadero y explotación de vulnerabilidades de software conocidas para obtener acceso inicial y difundir malware a través de redes específicas.

Si bien los investigadores no revelaron detalles sobre la metodología de ataque para la implementación de malware, se destacó que se utilizó una variante del malware Nestdoor establecido. Esta variante posee funcionalidades que le permiten recibir y ejecutar comandos desde un servidor remoto, transferir archivos, iniciar un shell inverso, recopilar datos del portapapeles y pulsaciones de teclas y operar como proxy.

Andariel APT implementó Dora RAT en dispositivos comprometidos

Los ataques emplearon una puerta trasera no revelada conocida como Dora RAT, previamente indocumentada. Se caracteriza por ser un malware sencillo con funcionalidades para operaciones de shell inversas y capacidades de transferencia de archivos.

Además, el atacante utilizó un certificado válido para firmar y distribuir el malware Dora RAT. Las confirmaciones indican que ciertas cepas de Dora RAT utilizadas en los ataques estaban firmadas con un certificado legítimo emitido a un desarrollador de software en el Reino Unido.

Entre la variedad de cepas de malware implementadas en estos ataques, hay un registrador de teclas introducido a través de una variante optimizada de Nestdoor, junto con un componente especializado en robo de datos y una herramienta proxy SOCKS5 que comparte similitudes con una utilizada por Lazarus Group en ThreatNeedle 2021. campaña.

El grupo Andariel se destaca como uno de los actores de amenazas más activos que operan en Corea, junto con los grupos Kimsuky y Lazarus. Inicialmente se centraron en recopilar información de inteligencia sobre la seguridad nacional, pero han ampliado su alcance para incluir ataques con motivación financiera.

Las infecciones por ratas podrían tener consecuencias devastadoras para las víctimas

Los troyanos de acceso remoto (RAT) pueden tener consecuencias devastadoras para las víctimas debido a su naturaleza intrusiva y clandestina. Este es el por qué:

• Acceso no autorizado : las RAT otorgan a los atacantes acceso sin restricciones a los sistemas infectados. Este acceso les permite ejecutar comandos, instalar o desinstalar software, modificar archivos y manipular la configuración del sistema de forma remota, lo que esencialmente les otorga control total sobre el dispositivo de la víctima.
• Robo de datos y vigilancia : las RAT a menudo incluyen funciones como registro de teclas, captura de pantalla y secuestro de cámara web, lo que permite a los atacantes monitorear las actividades de las víctimas en tiempo real. Esta capacidad de vigilancia permite el robo de información confidencial, incluidas contraseñas, datos financieros, conversaciones personales y propiedad intelectual.
• Compromiso del sistema : las RAT pueden comprometer la integridad y funcionalidad de los sistemas infectados. Los atacantes pueden desactivar el software de seguridad, alterar las configuraciones del sistema o incluso implementar cargas útiles de malware adicionales, lo que provoca inestabilidad del sistema, corrupción de datos y pérdida de productividad.
• Propagación y compromiso de la red : las RAT pueden facilitar la propagación de malware dentro de una red. Una vez que un solo dispositivo está infectado, los atacantes pueden usar el sistema comprometido como plataforma de lanzamiento para infiltrarse en otros dispositivos, servidores o componentes de infraestructura conectados, lo que podría causar daños e interrupciones generalizados.
• Persistencia a largo plazo : las RAT están diseñadas para mantener un acceso persistente a los sistemas infectados. Incluso si los intentos iniciales de detección y eliminación tienen éxito, los atacantes pueden reinstalar o reactivar el malware, lo que garantiza el acceso y control continuos de los dispositivos comprometidos durante períodos prolongados.
• Daño a la reputación y consecuencias legales : un ataque RAT exitoso puede tener graves repercusiones para las víctimas, incluido daño a su reputación, pérdida de la confianza del cliente y responsabilidades legales. Las violaciones de datos confidenciales pueden dar lugar a multas regulatorias, demandas y otras consecuencias legales, lo que exacerba aún más el impacto financiero y de reputación en las organizaciones afectadas.

En resumen, las infecciones RAT plantean amenazas importantes para las víctimas, que van desde el acceso no autorizado y el robo de datos hasta el compromiso del sistema, la propagación de la red y la persistencia a largo plazo. Las medidas proactivas de ciberseguridad, incluidas actualizaciones periódicas de software, una sólida protección de endpoints, capacitación de concientización de los usuarios y planificación de respuesta a incidentes, son imprescindibles para mitigar los riesgos asociados con los ataques RAT.