QuiteRAT
קולקטיב פריצה ידוע לשמצה הפועל מטעם צפון קוריאה פרס גרסה חדשה של תוכנות זדוניות כדי למקד ארגוני בריאות ותשתיות אינטרנט קריטיות ברחבי אירופה וארצות הברית. הזן המתקדם הזה של תוכנות זדוניות, שזוהה על ידי חוקרים בשם QuiteRAT, חולק מאפיינים רבים עם זני תוכנות זדוניות שנצפו בעבר, שהועסקו על ידי קבוצת Lazarus APT . עם זאת, יש לו רמת מורכבות גבוהה, מה שהופך את זה להרבה יותר מאתגר עבור מגינים לנתח ולהתנגד. בנוסף, בשלב ההפרה הראשוני של פעילותם, ההאקרים מינפו גם כלים ומסגרות קוד פתוח, כפי שמפורט בממצאי המחקר.
תוכן העניינים
לזרוס נשאר שחקן פעיל במיוחד בנוף עברייני הסייבר
אנליסטים של אבטחה העלו לאור סדרה של פעולות תקיפה הכוללות את קבוצת הפריצה המבוססת של לזרוס, שזכתה לשמצה בשל גניבת מטבעות קריפטוגרפיים בשווי של 1.7 מיליארד דולר ב-2022. מקושר לשלושה קמפיינים מתועדים. מבצעי עברייני הסייבר מציגים שימוש חוזר בתשתיות זהות על פני פעולות אלו.
האימוץ של כלים בקוד פתוח על ידי לזרוס עוררה חששות בשל השפעתו על תהליך הייחוס והאצת מחזור הניצול. על ידי שימוש בכלי קוד פתוח, ההאקרים מצליחים למזער חשדנות ולעקוף את הצורך בבניית יכולות מאפס. יש לציין, כלים רבים בקוד פתוח, שנועדו במקור למשימות הגנתיות והתקפיות לגיטימיות, הפכו לחלק מארסנלים זדוניים של קבוצות פושעי סייבר שונות.
ניצול נקודות תורפה בחבילת תוכנה עסקית פופולרית
התקריות המדווחות כוללות ניצול של פגיעות המשפיעה על ManageEngine ServiceDesk. החבילה המוצעת על ידי ManageEngine מוצאת שימוש בארגונים רבים, כולל רוב ארגוני Fortune 100. התוכנה משמשת בניהול תשתיות IT, רשתות, שרתים, יישומים, נקודות קצה ופונקציות אחרות. בינואר, החברה האחראית למוצר הכירה רשמית בקיומה של הפגיעות, שהוגדרה כ-CVE-2022-47966. חברות אבטחה שונות פרסמו התראות בנוגע לניצול פעיל שלה על ידי גורמים זדוניים.
QuiteRAT נשאר מוסתר במכשירים שנפגעו
QuiteRAT מאפשרת להאקרים לצבור מידע מהמכשיר שנפגע. האיום מצויד גם בפונקציה המאפשרת לו להיכנס למצב 'שינה' לפרקי זמן מוגדרים מראש, מה שמקל על הסתרת נוכחותו בתוך רשת שנפגעת.
בהשוואה למבשרה, MagicRAT, שנחשף על ידי ההאקרים של לזרוס באפריל 2022, QuiteRAT מתגאה בגודל קטן יותר. הוא מודד רק 4 עד 5 מגה-בייט, בעיקר בשל השמטת יכולות התמדה אינהרנטית בתוך הרשת שנפרצה. כתוצאה מכך, ההאקרים צריכים להציג תכונת התמדה נפרדת לאחר מכן.
דמיון בין השתלים מצביע על כך ש-QuiteRAT נובע מהשושלת של MagicRAT . מעבר להסתמכות המשותפת שלהם על מסגרת Qt, שני האיומים מציגים פונקציות דומות, כולל ביצוע פקודות שרירותיות על המערכת הנגועה.
בשילוב עם תוכנת זדונית QuiteRAT שלהם, חוקרים הבחינו בקבוצת Lazarus משתמשת באיום אחר שלא היה ידוע בעבר בשם 'CollectionRAT'. תוכנה זדונית זו מציגה יכולות סטנדרטיות של גישה מרחוק Trojan (RAT), המאפשרת לה לבצע פקודות שרירותיות במערכות שנפרצו.
