QuiteRAT
Põhja-Korea nimel tegutsev kurikuulus häkkimiskollektiivi on võtnud kasutusele uudse pahavara variandi, mis on suunatud tervishoiuorganisatsioonidele ja kriitilisele Interneti-infrastruktuurile kogu Euroopas ja Ameerika Ühendriikides. Sellel täiustatud pahavara tüvel, mille teadlased on identifitseerinud kui QuiteRAT, on palju ühiseid omadusi varem täheldatud pahavara tüvedega, mida kasutas Lazarus APT grupp. Siiski on sellel kõrgendatud keerukuse tase, mis muudab kaitsjate jaoks analüüsimise ja vastutegevuse märkimisväärselt keerulisemaks. Lisaks kasutasid häkkerid oma tegevuse esialgses rikkumise etapis ka avatud lähtekoodiga tööriistu ja raamistikke, nagu on kirjeldatud uurimistulemustes.
Sisukord
Lazarus on endiselt küberkurjategijate maastikul äärmiselt aktiivne näitleja
Turvaanalüütikud on toonud päevavalgele rea ründeoperatsioone, milles osales väljakujunenud häkkimisrühmitus Lazarus, mis saavutas kurikuulsa krüptoraha väidetava varguse tõttu, mille väärtus oli 2022. aastal 1,7 miljardit dollarit. Märkimisväärne on see, et vähem kui aasta jooksul on see rühmitus saavutanud seotud kolme dokumenteeritud kampaaniaga. Küberkuritegevuse käigus kasutatakse identset infrastruktuuri nende operatsioonide käigus.
Lazaruse avatud lähtekoodiga tööriistade kasutuselevõtt on tekitanud muret selle mõju tõttu omistamisprotsessile ja kasutustsükli kiirenemisele. Kasutades avatud lähtekoodiga tööriistu, õnnestub häkkeritel minimeerida kahtlusi ja vältida vajadust luua võimalused nullist. Eelkõige on arvukad avatud lähtekoodiga tööriistad, mis olid algselt mõeldud seaduslike kaitse- ja ründeülesannete jaoks, muutunud erinevate küberkurjategijate rühmituste pahatahtlike arsenali osaks.
Populaarse äritarkvara komplekti haavatavuste ärakasutamine
Teatatud juhtumid hõlmavad haavatavuse ärakasutamist, mis mõjutab ManageEngine ServiceDeski. ManageEngine'i pakutav komplekt leiab kasutust paljudes ettevõtetes, sealhulgas enamikus Fortune 100 organisatsioonides. Tarkvara kasutatakse IT infrastruktuuri, võrkude, serverite, rakenduste, lõpp-punktide ja muude funktsioonide haldamiseks. Jaanuaris tunnistas toote eest vastutav ettevõte ametlikult haavatavuse olemasolu, mille nimi on CVE-2022-47966. Mitmed turvafirmad on väljastanud hoiatusi selle kohta, et pahatahtlikud osalejad kasutavad seda aktiivselt ära.
QuiteRAT jääb ohustatud seadmetes peidetuks
QuiteRAT annab häkkeritele võimaluse koguda teavet ohustatud seadmest. Oht on varustatud ka funktsiooniga, mis võimaldab sellel lülituda unerežiimi eelnevalt kindlaksmääratud aja jooksul, hõlbustades sellega oma kohaloleku varjamist ohustatud võrgus.
Võrreldes oma eelkäijaga MagicRAT, mille Lazaruse häkkerid avalikustasid 2022. aasta aprillis, on QuiteRAT märkimisväärselt väiksema suurusega. See mõõdab vaid 4–5 MB, peamiselt seetõttu, et rikutud võrgus on välja jäetud püsivus. Selle tulemusena peavad häkkerid hiljem kasutusele võtma eraldi püsivusfunktsiooni.
Implantaatide vahelised sarnasused viitavad sellele, et QuiteRAT pärineb MagicRATi liinist. Lisaks ühisele Qt-raamistikule tuginemisele on mõlemal ohul sarnased funktsioonid, sealhulgas suvaliste käskude täitmine nakatunud süsteemis.
Seoses QuiteRAT-i pahavaraga on teadlased täheldanud, et Lazarus Group kasutab teist varem tundmatut ohtu, mille nimi on "CollectionRAT". Sellel pahavaral on standardsed kaugjuurdepääsu trooja (RAT) võimalused, mis võimaldavad tal täita suvalisi käske ohustatud süsteemides.
