ドララット
Andariel として知られる北朝鮮関連の脅威アクターは、韓国の教育機関、製造会社、建設会社を標的とした攻撃で、Dora RAT と呼ばれる新しい Golang ベースのバックドアを使用していることが確認されています。攻撃には、バックドア上のキーロガー、インフォスティーラー、プロキシ ツールが使用されました。脅威アクターは、これらのマルウェア ストレインを使用して、感染したシステムを制御およびデータを盗んだと考えられます。
韓国のサイバーセキュリティ企業は、この攻撃はマルウェアを配布するために脆弱なApache Tomcatサーバーを使用するのが特徴であると付け加え、問題のシステムは2013年版のApache Tomcatを実行しており、いくつかの脆弱性の影響を受ける可能性があると指摘した。
目次
Andariel APT はサイバー犯罪シーンの主要アクターです
Andariel は、Nicket Hyatt、Onyx Sleet、Silent Chollima などの別名でも知られ、少なくとも 2008 年以来、北朝鮮の戦略目標に沿った APT (Advanced PersistentThreat) グループを構成しています。
大規模なLazarus Group内の一派であるこの攻撃者は、スピアフィッシング、ウォーターホール型攻撃、既知のソフトウェアの脆弱性を悪用して初期アクセスを取得し、標的のネットワーク全体にマルウェアを拡散する手法を駆使してきた経歴を持っています。
マルウェア展開の攻撃手法に関する詳細は研究者によって明らかにされていないが、既存の Nestdoor マルウェアの亜種が利用されたことが強調されている。この亜種は、リモート サーバーからコマンドを受信して実行したり、ファイルを転送したり、リバース シェルを開始したり、クリップボード データやキーストロークを収集したり、プロキシとして動作したりできる機能を備えている。
Andariel APTは侵害されたデバイスにDora RATを展開した
この攻撃では、これまで文書化されていなかった Dora RAT と呼ばれる未公開のバックドアが使用されました。これは、リバース シェル操作とファイル転送機能を備えた単純なマルウェアとして特徴付けられます。
さらに、攻撃者は有効な証明書を使用して Dora RAT マルウェアに署名し、配布しています。確認によると、攻撃に使用された Dora RAT の特定の種類は、英国のソフトウェア開発者に発行された正当な証明書で署名されていました。
これらの攻撃で使用されたさまざまなマルウェアの中には、Nestdoor の簡素化された亜種を通じて導入されたキーロガー、特殊なデータ窃盗コンポーネント、および 2021 年のThreatNeedleキャンペーンで Lazarus Group が使用したものと類似点を持つ SOCKS5 プロキシ ツールが含まれています。
Andariel グループは、Kimsuky グループや Lazarus グループと並んで、韓国で最も活発に活動する脅威アクターの 1 つとして目立っています。当初は国家安全保障に関する情報収集に重点を置いていましたが、金銭目的の攻撃も対象に拡大しています。
RAT感染は被害者に壊滅的な結果をもたらす可能性がある
リモート アクセス トロイの木馬 (RAT) は、侵入的かつ秘密裏に行われるため、被害者に壊滅的な結果をもたらす可能性があります。その理由は次のとおりです。
- 不正アクセス: RAT は、攻撃者に感染したシステムへの無制限のアクセスを許可します。このアクセスにより、攻撃者はコマンドの実行、ソフトウェアのインストールまたはアンインストール、ファイルの変更、システム設定のリモート操作が可能になり、実質的に被害者のデバイスを完全に制御できるようになります。
- データの盗難と監視: RAT には、キーロギング、画面キャプチャ、ウェブカメラのハイジャックなどの機能が含まれていることが多く、攻撃者は被害者の活動をリアルタイムで監視できます。この監視機能により、パスワード、財務データ、個人的な会話、知的財産などの機密情報が盗まれます。
- システムの侵害: RAT は、感染したシステムの整合性と機能を侵害する可能性があります。攻撃者は、セキュリティ ソフトウェアを無効にしたり、システム構成を変更したり、追加のマルウェア ペイロードを展開したりして、システムの不安定化、データの破損、生産性の低下を引き起こす可能性があります。
- 伝播とネットワーク侵害: RAT は、ネットワーク内でのマルウェアの拡散を促進する可能性があります。 1 台のデバイスが感染すると、攻撃者は侵害されたシステムを足掛かりとして、接続されている他のデバイス、サーバー、またはインフラストラクチャ コンポーネントに侵入し、広範囲にわたる損害や混乱を引き起こす可能性があります。
- 長期にわたる持続性: RAT は、感染したシステムへの永続的なアクセスを維持するように設計されています。最初の検出と削除の試みが成功したとしても、攻撃者はマルウェアを再インストールまたは再アクティブ化して、侵害されたデバイスへの継続的なアクセスと制御を長期間にわたって確保する可能性があります。
- 評判の失墜と法的結果: RAT 攻撃が成功すると、被害者は評判の失墜、顧客の信頼の喪失、法的責任など、深刻な影響を受ける可能性があります。機密データの漏洩は、規制上の罰金、訴訟、その他の法的結果につながる可能性があり、影響を受けた組織の評判と財務への影響がさらに悪化します。
要約すると、RAT 感染は、不正アクセスやデータ盗難からシステム侵害、ネットワーク伝播、長期的な持続まで、被害者にとって重大な脅威となります。定期的なソフトウェア更新、強力なエンドポイント保護、ユーザー意識向上トレーニング、インシデント対応計画などの積極的なサイバーセキュリティ対策は、RAT 攻撃に関連するリスクを軽減するために必須です。
