QuiteRAT

یک گروه هکر بدنام که به نمایندگی از کره شمالی اقدام می کند، یک نوع بدافزار جدید را برای هدف قرار دادن سازمان های مراقبت های بهداشتی و زیرساخت های اینترنتی حیاتی در سراسر اروپا و ایالات متحده به کار گرفته است. این نوع پیشرفته بدافزار که توسط محققان با نام QuiteRAT شناسایی شده است، دارای ویژگی های متعددی با گونه های بدافزار مشاهده شده قبلی است که توسط گروه Lazarus APT استفاده شده است. با این حال، دارای سطح بالایی از پیچیدگی است، که تجزیه و تحلیل و مقابله با آن را برای مدافعان بسیار چالش برانگیزتر می کند. علاوه بر این، در مرحله اولیه نقض عملیات خود، هکرها همچنین از ابزارها و چارچوب‌های منبع باز استفاده کردند، همانطور که در یافته‌های تحقیق توضیح داده شده است.

لازاروس یک بازیگر بسیار فعال در منظره مجرمان سایبری باقی می ماند

تحلیلگران امنیتی مجموعه‌ای از عملیات‌های حمله‌ای را که شامل گروه هکری لازاروس است که به دلیل سرقت ارزهای دیجیتال به ارزش 1.7 میلیارد دلار در سال 2022 به شهرت رسیده است را نشان داده‌اند. قابل توجه است که در یک بازه زمانی کمتر از یک سال، این گروه موفق شده است. به سه کمپین مستند مرتبط شده است. عملیات مجرمانه سایبری استفاده مجدد از زیرساخت های یکسان را در این عملیات نشان می دهد.

پذیرش ابزارهای منبع باز توسط لازاروس به دلیل تأثیر آن بر فرآیند اسناد و تسریع چرخه بهره برداری، نگرانی هایی را ایجاد کرده است. با استفاده از ابزارهای منبع باز، هکرها موفق می شوند سوء ظن را به حداقل برسانند و نیاز به ایجاد قابلیت ها را از ابتدا دور بزنند. قابل ذکر است، ابزارهای متن باز متعددی که در اصل برای کارهای دفاعی و تهاجمی قانونی در نظر گرفته شده بودند، به بخشی از زرادخانه های مخرب گروه های مختلف مجرم سایبری تبدیل شده اند.

بهره برداری از آسیب پذیری ها در مجموعه نرم افزارهای محبوب کسب و کار

حوادث گزارش شده شامل بهره برداری از یک آسیب پذیری است که ManageEngine ServiceDesk را تحت تاثیر قرار می دهد. مجموعه ارائه شده توسط ManageEngine در بسیاری از شرکت ها از جمله اکثر سازمان های Fortune 100 مورد استفاده قرار می گیرد. این نرم افزار در مدیریت زیرساخت فناوری اطلاعات، شبکه ها، سرورها، برنامه ها، نقاط پایانی و سایر عملکردها استفاده می شود. در ماه ژانویه، شرکت مسئول این محصول رسما وجود این آسیب‌پذیری را به‌عنوان CVE-2022-47966 تایید کرد. شرکت های امنیتی مختلف هشدارهایی را در مورد بهره برداری فعال از آن توسط عوامل مخرب صادر کرده اند.

QuiteRAT در دستگاه های در معرض خطر پنهان می ماند

QuiteRAT به هکرها اجازه می دهد تا اطلاعات را از دستگاه در معرض خطر جمع آوری کنند. این تهدید همچنین مجهز به عملکردی است که آن را قادر می‌سازد تا برای مدت‌های از پیش تعریف شده وارد حالت "خواب" شود و پنهان کردن حضور آن در یک شبکه در معرض خطر را تسهیل می‌کند.

در مقایسه با پیشرو خود، MagicRAT، که توسط هکرهای Lazarus در آوریل 2022 رونمایی شد، QuiteRAT دارای اندازه قابل توجهی کوچکتر است. اندازه آن فقط 4 تا 5 مگابایت است که در درجه اول به دلیل حذف قابلیت‌های ماندگاری ذاتی در شبکه نقض شده است. در نتیجه، هکرها باید متعاقباً یک ویژگی ماندگاری جداگانه را معرفی کنند.

شباهت بین ایمپلنت ها نشان می دهد که QuiteRAT از دودمان MagicRAT نشات می گیرد. فراتر از اتکای مشترک آنها به چارچوب Qt، هر دو تهدید دارای عملکردهای مشابهی هستند، از جمله اجرای دستورات دلخواه در سیستم آلوده.

محققان در ارتباط با بدافزار QuiteRAT خود، گروه Lazarus را در حال استفاده از یک تهدید ناشناخته دیگر به نام CollectionRAT مشاهده کردند. این بدافزار قابلیت‌های استاندارد دسترسی از راه دور تروجان (RAT) را نشان می‌دهد و آن را قادر می‌سازد تا دستورات دلخواه را در سیستم‌های در معرض خطر اجرا کند.