꽤 RAT

북한을 대표하는 악명 높은 해킹 집단이 유럽과 미국 전역의 의료 기관과 중요한 인터넷 인프라를 표적으로 삼기 위해 새로운 악성 코드 변종을 배포했습니다. 연구원들이 QuiteRAT로 식별한 이 고급 악성 코드 변종은 이전에 관찰된 Lazarus APT 그룹에서 사용했던 악성 코드 변종과 많은 특징을 공유합니다. 그러나 복잡성 수준이 높아 방어자가 분석하고 대응하기가 훨씬 더 어렵습니다. 또한, 연구 결과에 자세히 설명된 바와 같이, 운영의 초기 침해 단계에서 해커는 오픈 소스 도구와 프레임워크도 활용했습니다.

Lazarus는 사이버 범죄 환경에서 여전히 매우 활동적인 행위자입니다.

보안 분석가들은 2022년에 17억 달러 상당의 암호화폐를 훔친 혐의로 악명을 얻은 잘 알려진 Lazarus 해킹 그룹과 관련된 일련의 공격 작전을 밝혀냈습니다. 놀랍게도 이 그룹은 1년도 채 안 되는 기간에 세 개의 문서화된 캠페인과 연결되어 있습니다. 사이버 범죄 작전은 이러한 작전 전반에 걸쳐 동일한 인프라를 재사용하는 것으로 나타났습니다.

Lazarus의 오픈 소스 도구 채택은 귀속 프로세스에 미치는 영향과 악용 주기 가속화로 인해 우려를 불러일으켰습니다. 해커는 오픈 소스 도구를 사용하여 의심을 최소화하고 처음부터 기능을 구축할 필요성을 회피합니다. 특히, 원래 합법적인 방어 및 공격 작업을 위해 고안된 수많은 오픈 소스 도구가 다양한 사이버 범죄 그룹의 악의적인 무기고가 되었습니다.

널리 사용되는 비즈니스 소프트웨어 제품군의 취약점 악용

보고된 사고에는 ManageEngine ServiceDesk에 영향을 미치는 취약점 악용이 포함됩니다. ManageEngine이 제공하는 제품군은 대부분의 Fortune 100대 기업을 포함하여 수많은 기업에서 활용됩니다. 이 소프트웨어는 IT 인프라, 네트워크, 서버, 애플리케이션, 엔드포인트 및 기타 기능을 관리하는 데 사용됩니다. 지난 1월 해당 제품을 담당하는 회사는 CVE-2022-47966으로 지정된 취약점의 존재를 공식적으로 인정했습니다. 다양한 보안 회사에서 악의적인 행위자의 적극적인 악용에 대해 경고를 발표했습니다.

QuiteRAT는 손상된 장치에 숨겨져 있습니다.

QuiteRAT은 해커가 손상된 장치에서 정보를 수집할 수 있는 권한을 부여합니다. 또한 위협 요소에는 미리 정의된 기간 동안 '절전' 모드에 들어갈 수 있는 기능이 탑재되어 있어 손상된 네트워크 내에서 자신의 존재를 쉽게 숨길 수 있습니다.

Lazarus 해커가 2022년 4월에 공개한 전신인 MagicRAT에 비해 QuiteRAT은 눈에 띄게 작은 크기를 자랑합니다. 침해된 네트워크 내에서 고유한 지속성 기능이 누락되었기 때문에 크기는 4~5MB에 불과합니다. 결과적으로 해커는 이후에 별도의 지속성 기능을 도입해야 합니다.

임플란트 간의 유사성은 QuiteRAT가 MagicRAT 의 계보에서 유래했음을 시사합니다. Qt 프레임워크에 대한 공유 의존성 외에도 두 위협 모두 감염된 시스템에서 임의 명령 실행을 포함하여 유사한 기능을 나타냅니다.

연구원들은 QuiteRAT 악성 코드와 함께 Lazarus Group이 'CollectionRAT'라는 이전에 알려지지 않은 또 다른 위협을 사용하는 것을 관찰했습니다. 이 악성 코드는 표준 원격 액세스 트로이 목마(RAT) 기능을 보여 손상된 시스템에서 임의 명령을 실행할 수 있습니다.