Sasvim RAT
Zloglasni hakerski kolektiv koji djeluje u ime Sjeverne Koreje postavio je novu varijantu zlonamjernog softvera za ciljanje zdravstvenih organizacija i kritične internetske infrastrukture diljem Europe i Sjedinjenih Država. Ova napredna vrsta zlonamjernog softvera, koju su istraživači identificirali kao QuiteRAT, dijeli brojne karakteristike s prethodno promatranim vrstama zlonamjernog softvera koje je koristila grupa Lazarus APT . Međutim, posjeduje visoku razinu složenosti, što ga braniteljima čini znatno zahtjevnijim za analizu i suzbijanje. Osim toga, tijekom početne faze kršenja svojih operacija, hakeri su također koristili alate i okvire otvorenog koda, kao što je detaljno navedeno u nalazima istraživanja.
Sadržaj
Lazarus ostaje iznimno aktivan akter u krajoliku kibernetičkog kriminala
Sigurnosni analitičari iznijeli su na vidjelo niz operacija napada koje uključuju dobro etabliranu hakersku skupinu Lazarus, koja je postala poznata zbog svoje navodne krađe kriptovalute procijenjene na 1,7 milijardi dolara 2022. Zanimljivo je da je u razdoblju kraćem od godinu dana ova skupina povezan s tri dokumentirane kampanje. Operacije kibernetičkog kriminala pokazuju ponovnu upotrebu identične infrastrukture u tim operacijama.
Lazarusovo usvajanje alata otvorenog koda izazvalo je zabrinutost zbog utjecaja na proces atribucije i ubrzanje ciklusa iskorištavanja. Koristeći alate otvorenog koda, hakeri uspijevaju minimizirati sumnju i zaobići potrebu za izgradnjom mogućnosti od nule. Naime, brojni alati otvorenog koda, izvorno namijenjeni legitimnim obrambenim i ofenzivnim zadaćama, postali su dio zlonamjernih arsenala raznih kibernetičkih kriminalnih skupina.
Iskorištavanje ranjivosti u popularnom paketu poslovnog softvera
Prijavljeni incidenti obuhvaćaju iskorištavanje ranjivosti koja utječe na ManageEngine ServiceDesk. Paket koji nudi ManageEngine koristi se u brojnim poduzećima, uključujući većinu organizacija s popisa Fortune 100. Softver se koristi za upravljanje IT infrastrukturom, mrežama, poslužiteljima, aplikacijama, krajnjim točkama i drugim funkcionalnostima. U siječnju je tvrtka odgovorna za proizvod službeno priznala postojanje ranjivosti, označene kao CVE-2022-47966. Razne sigurnosne tvrtke izdale su upozorenja u vezi s njegovim aktivnim iskorištavanjem od strane zlonamjernih aktera.
QuiteRAT ostaje skriven na ugroženim uređajima
QuiteRAT omogućuje hakerima prikupljanje informacija s kompromitiranog uređaja. Prijetnja je također opremljena funkcijom koja joj omogućuje da uđe u stanje 'mirovanja' na unaprijed definirana trajanja, olakšavajući prikrivanje svoje prisutnosti unutar ugrožene mreže.
U usporedbi sa svojim prethodnikom, MagicRAT-om, kojeg su hakeri Lazarusa predstavili u travnju 2022., QuiteRAT se može pohvaliti znatno manjom veličinom. Mjeri samo 4 do 5 MB, prvenstveno zbog izostavljanja inherentnih mogućnosti postojanosti unutar probijene mreže. Kao rezultat toga, hakeri moraju naknadno uvesti zasebnu značajku postojanosti.
Sličnosti između implantata sugeriraju da QuiteRAT potječe iz loze MagicRAT-a . Osim zajedničkog oslanjanja na Qt okvir, obje prijetnje pokazuju slične funkcionalnosti, uključujući izvršavanje proizvoljnih naredbi na zaraženom sustavu.
U kombinaciji sa zlonamjernim softverom QuiteRAT, istraživači su primijetili da Lazarus Group koristi još jednu prethodno nepoznatu prijetnju nazvanu 'CollectionRAT'. Ovaj zlonamjerni softver pokazuje standardne mogućnosti Trojanaca s udaljenim pristupom (RAT), što mu omogućuje izvršavanje proizvoljnih naredbi na ugroženim sustavima.
