Dora RAT: «Давайте поможем кибержуликам из КНДР найти новую цель для атаки»

03.06.2024

Новый вредонос написан на Golang и имеет легальный сертификат от британского разработчика.

Группа киберпреступников Andariel, связанная с Северной Кореей, в последнее время активно использует новый вирус Dora RAT (созвучный с названием детского ТВ-шоу ), который написан на языке программирования Golang и применяется для атак на образовательные учреждения, производственные компании и строительные фирмы в Южной Корее. Об этом сообщается в отчёте Центра безопасности AhnLab (AhnLab Security Emergency response Center (ASEC) – это центр круглосуточной поддержки и реагирования на инциденты безопасности. Он занимается мониторингом, анализом и устранением угроз безопасности, включая вирусы, хакерские атаки и фишинг." data-html="true" data-original-title="ASEC" >ASEC), опубликованном на прошлой неделе.

В ходе атак злоумышленники применяют кейлоггеры, программы для кражи данных, различные прокси-инструменты и прочее вредоносное ПО, позволяющее управлять заражёнными системами и похищать с них информацию.

Для распространения вирусов Andariel использует уязвимый сервер Apache Tomcat, работающий на версии 2013 года. Устаревшее программное обеспечение делает системы уязвимыми для множества атак.

Группа Andariel, также известная как Nicket Hyatt, Onyx Sleet и Silent Chollima, действует в интересах Северной Кореи с 2008 года. Это подразделение крупной хакерской группы Lazarus, известной своими фишинговыми атаками и использованием уязвимостей в ПО для проникновения в сети множества частных и правительственных учреждений в разных странах.

Хотя ASEC не раскрывает подробности цепочки атак, упоминается использование модифицированного вируса Nestdoor, который может выполнять команды удалённого сервера, загружать и выгружать файлы, захватывать данные буфера обмена и клавиатуры, а также выполнять функции прокси-сервера.

Новый вирус Dora RAT, использованный в атаках, представляет собой простую вредоносную программу с функциями обратной оболочки и загрузки/выгрузки файлов. Злоумышленники подписали и распространили этот вирус с использованием действительного сертификата, полученного от британского разработчика программного обеспечения.

Другие вредоносные программы, задействованные в атаках, включают кейлоггер, установленный через упрощённый вариант Nestdoor, а также инструмент для кражи информации и прокси-сервер SOCKS5, аналогичный инструменту, использованному группой Lazarus в кампании ThreatNeedle в 2021 году.

ASEC отмечает, что группа Andariel является одной из наиболее активных северокорейских групп, наряду с Kimsuky и Lazarus. Изначально их атаки были нацелены на получение информации, связанной с национальной безопасностью, но сейчас они также преследуют и финансовые цели.

Добавить комментарий

Your email address will not be published.

Предыдущая история

Названы эффективные способы защиты от клещей

Next Story

Бикмуллин о Назарове: «Было вдвойне сложнее, чем у Крикунова. Бегали по 10 км, ходили в жилетах и таскали друг друга по арене. Но когда выходил на матч – просто балдел»

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop