Docela RAT
Nechvalně známý hackerský tým jednající jménem Severní Koreje nasadil novou variantu malwaru, aby se zaměřil na zdravotnické organizace a kritickou internetovou infrastrukturu v celé Evropě a Spojených státech. Tento pokročilý kmen malwaru, identifikovaný výzkumníky jako QuiteRAT, sdílí četné charakteristiky s dříve pozorovanými kmeny malwaru, které používá skupina Lazarus APT . Má však zvýšenou úroveň složitosti, takže je pro obránce mnohem obtížnější analyzovat a působit proti nim. Kromě toho, během počáteční fáze narušení jejich operací, hackeři také využili open source nástroje a rámce, jak je podrobně popsáno ve zjištěních výzkumu.
Obsah
Lazarus zůstává extrémně aktivním aktérem v krajině kyberzločinců
Bezpečnostní analytici odhalili řadu útočných operací, do kterých se zapojila dobře zavedená hackerská skupina Lazarus, která se proslavila svou údajnou krádeží kryptoměny v hodnotě 1,7 miliardy dolarů v roce 2022. Je pozoruhodné, že během necelého roku se této skupině podařilo byly spojeny se třemi zdokumentovanými kampaněmi. Kyberzločinecké operace vykazují opakované použití stejné infrastruktury napříč těmito operacemi.
Lazarusovo přijetí open-source nástrojů vyvolalo obavy kvůli jejich dopadu na atribuční proces a zrychlení cyklu využívání. Pomocí nástrojů s otevřeným zdrojovým kódem se hackerům daří minimalizovat podezření a obejít potřebu vytvářet schopnosti od začátku. Pozoruhodné je, že četné open-source nástroje, původně určené pro legitimní obranné a útočné úkoly, se staly součástí škodlivých arzenálů různých kyberzločineckých skupin.
Využívání zranitelností v sadě oblíbeného podnikového softwaru
Hlášené incidenty zahrnují zneužití zranitelnosti, která má dopad na ManageEngine ServiceDesk. Sada nabízená ManageEngine nachází využití v mnoha podnicích, včetně většiny organizací Fortune 100. Software se používá při správě IT infrastruktury, sítí, serverů, aplikací, koncových bodů a dalších funkcí. V lednu společnost odpovědná za produkt oficiálně potvrdila existenci chyby zabezpečení označené jako CVE-2022-47966. Různé bezpečnostní firmy vydaly varování týkající se jeho aktivního zneužívání zlomyslnými aktéry.
QuiteRAT zůstává skrytý na kompromitovaných zařízeních
QuiteRAT umožňuje hackerům shromažďovat informace z napadeného zařízení. Hrozba je také vybavena funkcí, která jí umožňuje vstoupit do „režimu spánku“ na předem definovanou dobu, což usnadňuje utajení její přítomnosti v kompromitované síti.
Ve srovnání se svým předchůdcem, MagicRAT, který odhalili hackeři Lazarus v dubnu 2022, se QuiteRAT může pochlubit výrazně menší velikostí. Měří pouze 4 až 5 MB, především kvůli vynechání inherentních perzistenčních schopností v narušené síti. V důsledku toho musí hackeři následně zavést samostatnou funkci persistence.
Podoba mezi implantáty naznačuje, že QuiteRAT pochází z linie MagicRAT . Kromě společného spoléhání se na Qt framework vykazují obě hrozby podobné funkce, včetně provádění libovolných příkazů na infikovaném systému.
Ve spojení se svým QuiteRAT malwarem badatelé pozorovali, že Lazarus Group využívá další dříve neznámou hrozbu nazvanou „CollectionRAT“. Tento malware vykazuje standardní schopnosti vzdáleného trojského koně (RAT), což mu umožňuje provádět libovolné příkazy na napadených systémech.
