QuiteRAT
Pohjois-Korean puolesta toimiva pahamaineinen hakkerointikollektiivi on ottanut käyttöön uudenlaisen haittaohjelman muunnelman kohdistaakseen terveydenhuollon organisaatioihin ja kriittiseen Internet-infrastruktuuriin kaikkialla Euroopassa ja Yhdysvalloissa. Tämä edistynyt haittaohjelmakanta, jonka tutkijat tunnistavat QuiteRAT:ksi, jakaa lukuisia ominaisuuksia Lazarus APT -ryhmän aiemmin havaittujen haittaohjelmakantojen kanssa. Se on kuitenkin erittäin monimutkainen, mikä tekee puolustajien analysoinnista ja vastatoimista huomattavasti haastavampaa. Lisäksi hakkerit käyttivät toimintansa alkuvaiheessa myös avoimen lähdekoodin työkaluja ja kehyksiä, kuten tutkimustulosten mukaan.
Sisällysluettelo
Lazarus on edelleen äärimmäisen aktiivinen toimija kyberrikollisissa
Tietoturva-analyytikot ovat tuoneet esille joukon hyökkäysoperaatioita, joissa on mukana vakiintunut Lazarus-hakkerointiryhmä, joka sai mainetta väitetystä kryptovaluutan varkaudesta, jonka arvo oli 1,7 miljardia dollaria vuonna 2022. On huomattavaa, että tämä ryhmä on alle vuoden sisällä linkitetty kolmeen dokumentoituun kampanjaan. Kyberrikollisissa toimissa käytetään identtistä infrastruktuuria uudelleen kaikissa operaatioissa.
Lazaruksen avoimen lähdekoodin työkalujen käyttöönotto on herättänyt huolta, koska se vaikuttaa attribuutioprosessiin ja hyödyntämissyklin kiihtymiseen. Avoimen lähdekoodin työkaluja käyttämällä hakkerit onnistuvat minimoimaan epäilykset ja kiertämään tarpeen rakentaa ominaisuuksia tyhjästä. Erityisesti lukuisista avoimen lähdekoodin työkaluista, jotka oli alun perin tarkoitettu laillisiin puolustus- ja hyökkäystehtäviin, on tullut osa erilaisten kyberrikollisryhmien haitallisia arsenaaleja.
Popular Business Software Suiten haavoittuvuuksien hyödyntäminen
Raportoidut tapaukset sisältävät haavoittuvuuden hyödyntämisen, joka vaikuttaa ManageEngine ServiceDeskiin. ManageEnginen tarjoamaa sviittiä voidaan käyttää useissa yrityksissä, mukaan lukien suurin osa Fortune 100 -organisaatioista. Ohjelmistoa hyödynnetään IT-infrastruktuurin, verkkojen, palvelimien, sovellusten, päätepisteiden ja muiden toimintojen hallinnassa. Tuotteesta vastaava yritys tunnusti tammikuussa virallisesti CVE-2022-47966:n haavoittuvuuden olemassaolon. Useat turvallisuusyritykset ovat antaneet hälytyksiä haitallisten toimijoiden aktiivisesta hyväksikäytöstä.
QuiteRAT pysyy piilossa vaarantuneissa laitteissa
QuiteRAT antaa hakkereille mahdollisuuden kerätä tietoja vaarantuneesta laitteesta. Uhka on myös varustettu toiminnolla, jonka avulla se voi siirtyä "lepotilaan" ennalta määritetyksi ajaksi, mikä helpottaa sen läsnäolon piilottamista vaarantuneessa verkossa.
Verrattuna edeltäjäänsä, MagicRAT, jonka Lazarus-hakkerit julkistivat huhtikuussa 2022, QuiteRAT on huomattavasti pienempi koko. Se on kooltaan vain 4–5 megatavua, mikä johtuu pääasiassa siitä, että rikkoutuneesta verkosta on jätetty pois luontaiset pysyvyysominaisuudet. Tämän seurauksena hakkereiden on otettava käyttöön erillinen pysyvyysominaisuus myöhemmin.
Implanttien väliset yhtäläisyydet viittaavat siihen, että QuiteRAT on peräisin MagicRATin sukulinjasta. Jaetun Qt-kehyksen riippuvuuden lisäksi molemmilla uhilla on samanlaisia toimintoja, mukaan lukien mielivaltaisten komentojen suorittaminen tartunnan saaneessa järjestelmässä.
Yhdessä QuiteRAT-haittaohjelmansa kanssa tutkijat ovat havainneet Lazarus Groupin käyttävän toista aiemmin tuntematonta uhkaa nimeltä "CollectionRAT". Tämä haittaohjelma sisältää standardinmukaiset RAT (Remote Access Trojan) -ominaisuudet, jotka mahdollistavat sen, että se voi suorittaa mielivaltaisia komentoja vaarantuneissa järjestelmissä.
