AbbastanzaRAT
Un famigerato collettivo di hacker che agisce per conto della Corea del Nord ha implementato una nuova variante di malware per colpire le organizzazioni sanitarie e le infrastrutture Internet critiche in Europa e negli Stati Uniti. Questo ceppo avanzato di malware, identificato dai ricercatori come QuiteRAT, condivide numerose caratteristiche con i ceppi di malware precedentemente osservati e utilizzati dal gruppo Lazarus APT . Tuttavia, possiede un elevato livello di complessità, rendendolo molto più difficile da analizzare e contrastare per i difensori. Inoltre, durante la fase iniziale della violazione delle loro operazioni, gli hacker hanno anche sfruttato strumenti e framework open source, come dettagliato nei risultati della ricerca.
Sommario
Lazarus rimane un attore estremamente attivo nel panorama della criminalità informatica
Gli analisti della sicurezza hanno portato alla luce una serie di operazioni di attacco che hanno coinvolto il noto gruppo di hacker Lazarus, diventato famoso per il suo presunto furto di criptovaluta del valore di 1,7 miliardi di dollari nel 2022. Sorprendentemente, in meno di un anno, questo gruppo ha stato collegato a tre campagne documentate. Le operazioni dei criminali informatici mostrano il riutilizzo di infrastrutture identiche in queste operazioni.
L'adozione di strumenti open source da parte di Lazarus ha sollevato preoccupazioni a causa del suo impatto sul processo di attribuzione e sull'accelerazione del ciclo di sfruttamento. Utilizzando strumenti open source, gli hacker riescono a ridurre al minimo i sospetti e ad eludere la necessità di creare funzionalità da zero. In particolare, numerosi strumenti open source, originariamente destinati a compiti difensivi e offensivi legittimi, sono diventati parte degli arsenali dannosi di vari gruppi di criminali informatici.
Sfruttare le vulnerabilità nella popolare suite di software aziendali
Gli incidenti segnalati comprendono lo sfruttamento di una vulnerabilità che colpisce ManageEngine ServiceDesk. La suite offerta da ManageEngine trova utilizzo in numerose aziende, inclusa la maggior parte delle organizzazioni Fortune 100. Il software viene utilizzato nella gestione dell'infrastruttura IT, delle reti, dei server, delle applicazioni, degli endpoint e di altre funzionalità. A gennaio, la società responsabile del prodotto ha riconosciuto ufficialmente l'esistenza della vulnerabilità, denominata CVE-2022-47966. Diverse società di sicurezza hanno emesso avvisi riguardanti il suo sfruttamento attivo da parte di malintenzionati.
QuiteRAT rimane nascosto sui dispositivi compromessi
QuiteRAT consente agli hacker di accumulare informazioni dal dispositivo compromesso. La minaccia è inoltre dotata di una funzione che le consente di entrare in modalità "sleep" per durate predefinite, facilitando l'occultamento della sua presenza all'interno di una rete compromessa.
Rispetto al suo predecessore, MagicRAT, presentato dagli hacker Lazarus nell'aprile 2022, QuiteRAT vanta dimensioni notevolmente inferiori. Misura solo da 4 a 5 MB, principalmente a causa dell'omissione delle capacità di persistenza intrinseche all'interno della rete violata. Di conseguenza, gli hacker devono introdurre successivamente una funzionalità di persistenza separata.
Le somiglianze tra gli impianti suggeriscono che QuiteRAT deriva dal lignaggio di MagicRAT . Al di là della comune dipendenza dal framework Qt, entrambe le minacce presentano funzionalità simili, inclusa l’esecuzione di comandi arbitrari sul sistema infetto.
Insieme al malware QuiteRAT, i ricercatori hanno osservato che il Lazarus Group utilizzava un'altra minaccia precedentemente sconosciuta denominata "CollectionRAT". Questo malware presenta funzionalità standard di Remote Access Trojan (RAT), che gli consentono di eseguire comandi arbitrari sui sistemi compromessi.
