QuiteRAT

Un famós col·lectiu de pirateria informàtica que actua en nom de Corea del Nord ha desplegat una nova variant de programari maliciós per dirigir-se a les organitzacions sanitàries i a la infraestructura crítica d'Internet a Europa i als Estats Units. Aquesta varietat avançada de programari maliciós, identificada pels investigadors com QuiteRAT, comparteix nombroses característiques amb les soques de programari maliciós observades anteriorment utilitzades pel grup Lazarus APT . No obstant això, posseeix un nivell elevat de complexitat, cosa que fa que els defensors siguin molt més difícils d'analitzar i contrarestar. A més, durant l'etapa d'incompliment inicial de les seves operacions, els pirates informàtics també van aprofitar eines i marcs de codi obert, tal com es detalla a les conclusions de la investigació.

Lazarus segueix sent un actor extremadament actiu en el panorama cibercriminal

Els analistes de seguretat han tret a la llum una sèrie d'operacions d'atac que involucren el ben establert grup de pirateria Lazarus, que va guanyar notorietat pel seu suposat robatori de criptomoneda valorat en 1.700 milions de dòlars el 2022. Notablement, en menys d'un any, aquest grup ha s'ha relacionat amb tres campanyes documentades. Les operacions cibercriminals mostren la reutilització d'una infraestructura idèntica en aquestes operacions.

L'adopció de Lazarus d'eines de codi obert ha despertat preocupacions pel seu impacte en el procés d'atribució i l'acceleració del cicle d'explotació. Mitjançant l'ús d'eines de codi obert, els pirates informàtics aconsegueixen minimitzar les sospites i eludir la necessitat de construir capacitats des de zero. En particular, nombroses eines de codi obert, originalment destinades a tasques defensives i ofensives legítimes, s'han convertit en part dels arsenals maliciosos de diversos grups cibercriminals.

Explotant les vulnerabilitats a la suite de programari empresarial popular

Els incidents denunciats inclouen l'explotació d'una vulnerabilitat que afecta ManageEngine ServiceDesk. La suite que ofereix ManageEngine s'utilitza en nombroses empreses, incloses la majoria de les organitzacions Fortune 100. El programari s'utilitza per gestionar la infraestructura de TI, xarxes, servidors, aplicacions, punts finals i altres funcionalitats. Al gener, l'empresa responsable del producte va reconèixer oficialment l'existència de la vulnerabilitat, designada com a CVE-2022-47966. Diverses empreses de seguretat han emès alertes sobre la seva explotació activa per part d'actors maliciosos.

QuiteRAT es manté ocult en dispositius compromesos

QuiteRAT permet als pirates informàtics per acumular informació del dispositiu compromès. L'amenaça també està equipada amb una funció que li permet entrar en un mode de "repòs" durant temps predefinits, facilitant l'ocultació de la seva presència dins d'una xarxa compromesa.

En comparació amb el seu precursor, MagicRAT, presentat pels pirates informàtics de Lazarus l'abril de 2022, QuiteRAT té una mida notablement més petita. Només mesura entre 4 i 5 MB, principalment a causa de l'omissió de les capacitats de persistència inherents a la xarxa trencada. Com a resultat, els pirates informàtics han d'introduir una funció de persistència separada posteriorment.

Les semblances entre els implants suggereixen que QuiteRAT prové del llinatge de MagicRAT . Més enllà de la seva dependència compartida del marc Qt, ambdues amenaces presenten funcionalitats similars, inclosa l'execució d'ordres arbitràries al sistema infectat.

Juntament amb el seu programari maliciós QuiteRAT, els investigadors han observat que el Grup Lazarus utilitza una altra amenaça desconeguda anteriorment anomenada "CollectionRAT". Aquest programari maliciós presenta capacitats estàndard de troià d'accés remot (RAT), que li permeten executar ordres arbitràries als sistemes compromesos.