Ganske RAT
Et berygtet hackerkollektiv, der handler på vegne af Nordkorea, har implementeret en ny variant af malware for at målrette sundhedsorganisationer og kritisk internetinfrastruktur i hele Europa og USA. Denne avancerede stamme af malware, identificeret af forskere som QuiteRAT, deler adskillige karakteristika med tidligere observerede malware-stammer, der er ansat af Lazarus APT- gruppen. Det har dog et forhøjet kompleksitetsniveau, hvilket gør det betydeligt mere udfordrende for forsvarere at analysere og modarbejde. Derudover udnyttede hackerne også open source-værktøjer og -rammer i den indledende fase af deres operationer, som beskrevet i forskningsresultaterne.
Indholdsfortegnelse
Lazarus forbliver en ekstremt aktiv skuespiller i det cyberkriminelle landskab
Sikkerhedsanalytikere har afsløret en række angrebsoperationer, der involverer den veletablerede Lazarus hackergruppe, som vandt berømthed for sit påståede tyveri af kryptovaluta til en værdi af 1,7 milliarder dollars i 2022. Bemærkelsesværdigt nok har denne gruppe inden for et tidsrum på mindre end et år været knyttet til tre dokumenterede kampagner. De cyberkriminelle operationer udviser genbrug af identisk infrastruktur på tværs af disse operationer.
Lazarus' vedtagelse af open source-værktøjer har givet anledning til bekymring på grund af dets indvirkning på tilskrivningsprocessen og accelerationen af udnyttelsescyklussen. Ved at anvende open source-værktøjer formår hackerne at minimere mistanke og omgå behovet for at konstruere kapaciteter fra bunden. Navnlig er talrige open source-værktøjer, der oprindeligt var beregnet til legitime defensive og offensive opgaver, blevet en del af de ondsindede arsenaler fra forskellige cyberkriminelle grupper.
Udnyttelse af sårbarheder i Popular Business Software Suite
De rapporterede hændelser omfatter udnyttelse af en sårbarhed, der påvirker ManageEngine ServiceDesk. Suiten, der tilbydes af ManageEngine, finder anvendelse på tværs af adskillige virksomheder, herunder størstedelen af Fortune 100-organisationer. Softwaren bruges til at administrere it-infrastruktur, netværk, servere, applikationer, slutpunkter og andre funktionaliteter. I januar anerkendte virksomheden, der var ansvarlig for produktet, officielt eksistensen af sårbarheden, betegnet som CVE-2022-47966. Forskellige sikkerhedsfirmaer har udsendt advarsler om aktiv udnyttelse af ondsindede aktører.
QuiteRAT forbliver skjult på kompromitterede enheder
QuiteRAT giver hackerne mulighed for at samle information fra den kompromitterede enhed. Truslen er også udstyret med en funktion, der gør den i stand til at gå i en 'dvale'-tilstand i foruddefinerede varigheder, hvilket letter skjulelsen af dens tilstedeværelse i et kompromitteret netværk.
Sammenlignet med sin forløber, MagicRAT, afsløret af Lazarus-hackerne i april 2022, kan QuiteRAT prale af en bemærkelsesværdig mindre størrelse. Den måler kun 4 til 5 MB, primært på grund af udeladelsen af iboende persistenskapaciteter i det brudte netværk. Som et resultat er hackerne nødt til at indføre en separat persistensfunktion efterfølgende.
Ligheder mellem implantaterne tyder på, at QuiteRAT stammer fra afstamningen af MagicRAT . Ud over deres fælles afhængighed af Qt-rammeværket, udviser begge trusler lignende funktionaliteter, herunder udførelse af vilkårlige kommandoer på det inficerede system.
I forbindelse med deres QuiteRAT-malware har forskere observeret, at Lazarus-gruppen anvender en anden hidtil ukendt trussel kaldet 'CollectionRAT'. Denne malware udviser standard Remote Access Trojan (RAT)-funktioner, hvilket gør den i stand til at udføre vilkårlige kommandoer på de kompromitterede systemer.
