QuiteRAT
Egy Észak-Korea nevében eljáró hírhedt hackercsapat a rosszindulatú programok új változatát telepítette az egészségügyi szervezetek és a kritikus internetes infrastruktúra megcélzására Európa és az Egyesült Államok területén. A rosszindulatú programoknak ez a fejlett törzse, amelyet a kutatók QuiteRAT-ként azonosítottak, számos tulajdonsággal rendelkezik, mint a Lazarus APT csoport által korábban megfigyelt rosszindulatú programtörzsek. Mindazonáltal magas szintű összetettséggel rendelkezik, ami jelentősen megnehezíti a védők számára az elemzést és az ellensúlyozást. Ezen túlmenően a hackerek működésük kezdeti jogsértési szakaszában nyílt forráskódú eszközöket és keretrendszereket is felhasználtak, amint azt a kutatási eredmények részletezik.
Tartalomjegyzék
Lázár továbbra is rendkívül aktív szereplő a kiberbűnözők táján
Biztonsági elemzők egy sor támadási műveletet hoztak napvilágra a jól bevált Lazarus hackercsoporttal, amely állítólagos kriptovaluta lopásáról szerzett hírnevet 2022-ben 1,7 milliárd dollár értékben. Figyelemre méltó, hogy kevesebb mint egy éven belül ez a csoport három dokumentált kampányhoz kapcsolták. A kiberbűnözői műveletek ugyanazon infrastruktúra újrafelhasználását mutatják ezekben a műveletekben.
A nyílt forráskódú eszközök Lazarus általi elfogadása aggályokat vet fel a hozzárendelési folyamatra gyakorolt hatása és a kiaknázási ciklus felgyorsulása miatt. A nyílt forráskódú eszközök használatával a hackerek minimálisra csökkentik a gyanút, és megkerülik a képességek nulláról való létrehozásának szükségességét. Figyelemre méltó, hogy számos nyílt forráskódú eszköz, amelyet eredetileg legitim védekező és támadó feladatokra szántak, különböző kiberbűnözői csoportok rosszindulatú fegyvertárának részévé vált.
A Popular Business Software Suite biztonsági résének kihasználása
A jelentett incidensek a ManageEngine ServiceDesk szolgáltatást érintő biztonsági rés kihasználását foglalják magukban. A ManageEngine által kínált csomag számos vállalkozásban használható, beleértve a Fortune 100 szervezeteinek többségét. A szoftvert IT infrastruktúra, hálózatok, szerverek, alkalmazások, végpontok és egyéb funkciók kezelésére használják. Januárban a termékért felelős cég hivatalosan is elismerte a CVE-2022-47966 jelzésű biztonsági rés létezését. Különböző biztonsági cégek figyelmeztetéseket adtak ki a rosszindulatú szereplők általi aktív kihasználásról.
A QuiteRAT rejtve marad a veszélyeztetett eszközökön
A QuiteRAT felhatalmazza a hackereket, hogy információkat gyűjtsenek a feltört eszközről. A fenyegetés egy olyan funkcióval is fel van szerelve, amely lehetővé teszi számára, hogy előre meghatározott időtartamra „alvó” módba lépjen, megkönnyítve jelenlétének elrejtését egy kompromittált hálózaton belül.
Elődjéhez, a MagicRAT-hez képest, amelyet a Lazarus hackerei 2022 áprilisában mutattak be, a QuiteRAT jelentősen kisebb mérettel büszkélkedhet. Mérete mindössze 4-5 MB, elsősorban a megszakadt hálózaton belüli inherens perzisztencia-képességek hiánya miatt. Ennek eredményeként a hackereknek külön perzisztencia funkciót kell bevezetniük a későbbiekben.
Az implantátumok közötti hasonlóságok arra utalnak, hogy a QuiteRAT a MagicRAT leszármazási vonalából származik. A Qt-keretrendszerre való közös támaszkodáson túl mindkét fenyegetés hasonló funkciókat mutat, beleértve tetszőleges parancsok végrehajtását a fertőzött rendszeren.
A kutatók a QuiteRAT kártevőjükkel összefüggésben megfigyelték, hogy a Lazarus Group egy másik, korábban ismeretlen fenyegetést alkalmaz, a CollectionRAT nevet kapta. Ez a rosszindulatú program szabványos távelérési trójai (RAT) képességekkel rendelkezik, amelyek lehetővé teszik, hogy tetszőleges parancsokat hajtson végre a feltört rendszereken.
