Съвсем RAT
Скандален хакерски колектив, действащ от името на Северна Корея, е внедрил нов вариант на зловреден софтуер, насочен към здравни организации и критична интернет инфраструктура в Европа и Съединените щати. Този усъвършенстван вид злонамерен софтуер, идентифициран от изследователите като QuiteRAT, споделя многобройни характеристики с наблюдаваните преди това видове злонамерен софтуер, използвани от групата Lazarus APT . Той обаче притежава повишено ниво на сложност, което го прави значително по-предизвикателно за анализирането и противодействието на защитниците. Освен това, по време на началния етап на нарушаване на своите операции, хакерите също са използвали инструменти и рамки с отворен код, както е подробно описано в резултатите от изследването.
Съдържание
Lazarus остава изключително активен актьор в киберпрестъпния пейзаж
Анализаторите по сигурността извадиха наяве серия от операции за атака, включващи утвърдената хакерска група Lazarus, която придоби известност с предполагаемата си кражба на криптовалута, оценена на 1,7 милиарда долара през 2022 г. Забележително е, че в рамките на по-малко от година тази група е е свързан с три документирани кампании. Киберпрестъпните операции показват повторно използване на идентична инфраструктура в тези операции.
Възприемането на инструменти с отворен код от Lazarus предизвика безпокойство поради въздействието му върху процеса на приписване и ускоряването на цикъла на използване. Използвайки инструменти с отворен код, хакерите успяват да сведат до минимум подозрението и да заобиколят необходимостта от изграждане на възможности от нулата. Трябва да се отбележи, че множество инструменти с отворен код, първоначално предназначени за легитимни отбранителни и нападателни задачи, са станали част от злонамерените арсенали на различни киберпрестъпни групи.
Използване на уязвимости в популярния бизнес софтуерен пакет
Докладваните инциденти включват експлоатация на уязвимост, която засяга ManageEngine ServiceDesk. Пакетът, предлаган от ManageEngine, намира приложение в множество предприятия, включително по-голямата част от организациите от Fortune 100. Софтуерът се използва за управление на ИТ инфраструктура, мрежи, сървъри, приложения, крайни точки и други функционалности. През януари компанията, отговорна за продукта, официално призна съществуването на уязвимостта, обозначена като CVE-2022-47966. Различни фирми за сигурност издадоха сигнали относно активното му използване от злонамерени участници.
QuiteRAT остава скрит на компрометирани устройства
QuiteRAT дава възможност на хакерите да натрупат информация от компрометираното устройство. Заплахата също така е снабдена с функция, която й позволява да влиза в режим на „заспиване“ за предварително определени продължителности, улеснявайки прикриването на нейното присъствие в компрометирана мрежа.
В сравнение със своя предшественик, MagicRAT, представен от хакерите на Lazarus през април 2022 г., QuiteRAT може да се похвали със значително по-малък размер. Той измерва само 4 до 5 MB, главно поради пропускането на присъщите възможности за устойчивост в рамките на нарушената мрежа. В резултат на това хакерите трябва впоследствие да въведат отделна функция за устойчивост.
Приликите между имплантите предполагат, че QuiteRAT произлиза от родословието на MagicRAT . Освен споделеното им разчитане на рамката на Qt, и двете заплахи показват сходни функционалности, включително изпълнението на произволни команди в заразената система.
Във връзка с техния зловреден софтуер QuiteRAT, изследователите са наблюдавали групата Lazarus да използва друга неизвестна досега заплаха, наречена „CollectionRAT“. Този злонамерен софтуер показва стандартни възможности за троянски кон за отдалечен достъп (RAT), което му позволява да изпълнява произволни команди на компрометираните системи.
