QuiteRAT
Μια διαβόητη συλλογική πειρατεία που ενεργεί για λογαριασμό της Βόρειας Κορέας έχει αναπτύξει μια νέα παραλλαγή κακόβουλου λογισμικού για να στοχεύσει οργανισμούς υγειονομικής περίθαλψης και κρίσιμες υποδομές Διαδικτύου σε όλη την Ευρώπη και τις Ηνωμένες Πολιτείες. Αυτό το προηγμένο στέλεχος κακόβουλου λογισμικού, που προσδιορίστηκε από τους ερευνητές ως QuiteRAT, έχει πολλά κοινά χαρακτηριστικά με τα στελέχη κακόβουλου λογισμικού που είχαν παρατηρηθεί προηγουμένως που χρησιμοποιούνται από την ομάδα Lazarus APT . Ωστόσο, διαθέτει υψηλό επίπεδο πολυπλοκότητας, γεγονός που καθιστά πολύ πιο δύσκολο για τους αμυντικούς να αναλύσουν και να αντιμετωπίσουν. Επιπλέον, κατά τη διάρκεια του αρχικού σταδίου παραβίασης των επιχειρήσεών τους, οι χάκερ χρησιμοποίησαν επίσης εργαλεία και πλαίσια ανοιχτού κώδικα, όπως περιγράφεται λεπτομερώς στα ευρήματα της έρευνας.
Πίνακας περιεχομένων
Ο Λάζαρος παραμένει εξαιρετικά δραστήριος ηθοποιός στο τοπίο του κυβερνοεγκλήματος
Αναλυτές ασφαλείας έφεραν στο φως μια σειρά από επιχειρήσεις επίθεσης στις οποίες εμπλέκεται η καθιερωμένη ομάδα hacking Lazarus, η οποία κέρδισε τη φήμη για την υποτιθέμενη κλοπή κρυπτονομισμάτων αξίας 1,7 δισεκατομμυρίων δολαρίων το 2022. Είναι αξιοσημείωτο ότι μέσα σε διάστημα λιγότερο από ένα χρόνο, αυτή η ομάδα έχει συνδέθηκε με τρεις τεκμηριωμένες καμπάνιες. Οι κυβερνοεγκληματικές επιχειρήσεις παρουσιάζουν την επαναχρησιμοποίηση της ίδιας υποδομής σε αυτές τις επιχειρήσεις.
Η υιοθέτηση εργαλείων ανοιχτού κώδικα από τον Lazarus έχει εγείρει ανησυχίες λόγω των επιπτώσεών τους στη διαδικασία απόδοσης και στην επιτάχυνση του κύκλου εκμετάλλευσης. Χρησιμοποιώντας εργαλεία ανοιχτού κώδικα, οι χάκερ καταφέρνουν να ελαχιστοποιήσουν τις υποψίες και να παρακάμψουν την ανάγκη κατασκευής δυνατοτήτων από την αρχή. Συγκεκριμένα, πολλά εργαλεία ανοιχτού κώδικα, που αρχικά προορίζονταν για νόμιμες αμυντικές και επιθετικές εργασίες, έχουν γίνει μέρος του κακόβουλου οπλοστασίου διαφόρων ομάδων εγκληματιών στον κυβερνοχώρο.
Εκμετάλλευση τρωτών σημείων στη δημοφιλή σουίτα επιχειρηματικού λογισμικού
Τα αναφερόμενα περιστατικά περιλαμβάνουν την εκμετάλλευση μιας ευπάθειας που επηρεάζει το ManageEngine ServiceDesk. Η σουίτα που προσφέρεται από το ManageEngine βρίσκει χρήση σε πολλές επιχειρήσεις, συμπεριλαμβανομένης της πλειοψηφίας των οργανισμών του Fortune 100. Το λογισμικό χρησιμοποιείται για τη διαχείριση υποδομών πληροφορικής, δικτύων, διακομιστών, εφαρμογών, τελικών σημείων και άλλων λειτουργιών. Τον Ιανουάριο, η εταιρεία που είναι υπεύθυνη για το προϊόν αναγνώρισε επίσημα την ύπαρξη της ευπάθειας, που ονομάστηκε CVE-2022-47966. Διάφορες εταιρείες ασφαλείας έχουν εκδώσει ειδοποιήσεις σχετικά με την ενεργό εκμετάλλευσή του από κακόβουλους παράγοντες.
Το QuiteRAT παραμένει κρυφό σε παραβιασμένες συσκευές
Το QuiteRAT εξουσιοδοτεί τους χάκερ να συγκεντρώνουν πληροφορίες από την παραβιασμένη συσκευή. Η απειλή είναι επίσης εξοπλισμένη με μια λειτουργία που της δίνει τη δυνατότητα να εισέλθει σε κατάσταση «αδράνειας» για προκαθορισμένες διάρκειες, διευκολύνοντας την απόκρυψη της παρουσίας της σε ένα παραβιασμένο δίκτυο.
Σε σύγκριση με τον πρόδρομό του, το MagicRAT, που αποκαλύφθηκε από τους χάκερ Lazarus τον Απρίλιο του 2022, το QuiteRAT μπορεί να υπερηφανεύεται για ένα σημαντικά μικρότερο μέγεθος. Μετράει μόνο 4 έως 5 MB, κυρίως λόγω της παράλειψης εγγενών δυνατοτήτων επιμονής στο δίκτυο που έχει παραβιαστεί. Ως αποτέλεσμα, οι χάκερ πρέπει να εισαγάγουν μια ξεχωριστή δυνατότητα επιμονής στη συνέχεια.
Οι ομοιότητες μεταξύ των εμφυτευμάτων υποδηλώνουν ότι το QuiteRAT προέρχεται από τη γενεαλογία του MagicRAT . Πέρα από την κοινή τους εξάρτηση από το πλαίσιο Qt, και οι δύο απειλές παρουσιάζουν παρόμοιες λειτουργίες, συμπεριλαμβανομένης της εκτέλεσης αυθαίρετων εντολών στο μολυσμένο σύστημα.
Σε συνδυασμό με το κακόβουλο λογισμικό QuiteRAT, οι ερευνητές παρατήρησαν την ομάδα Lazarus να χρησιμοποιεί μια άλλη προηγουμένως άγνωστη απειλή που ονομάζεται "CollectionRAT". Αυτό το κακόβουλο λογισμικό εμφανίζει τυπικές δυνατότητες Remote Access Trojan (RAT), που του επιτρέπουν να εκτελεί αυθαίρετες εντολές στα παραβιασμένα συστήματα.
