Gana RAT
Liūdnai pagarsėjęs įsilaužėlių kolektyvas, veikiantis Šiaurės Korėjos vardu, įdiegė naują kenkėjiškų programų variantą, skirtą sveikatos priežiūros organizacijoms ir svarbiai interneto infrastruktūrai visoje Europoje ir Jungtinėse Valstijose. Ši pažangi kenkėjiškų programų atmaina, kurią mokslininkai identifikavo kaip QuiteRAT, turi daug bendrų savybių su anksčiau pastebėtomis kenkėjiškų programų atmainomis, kurias naudojo Lazarus APT grupė. Tačiau jis turi aukštą sudėtingumo lygį, todėl gynėjams yra daug sudėtingiau analizuoti ir neutralizuoti. Be to, pradiniame savo veiklos pažeidimo etape įsilaužėliai taip pat naudojo atvirojo kodo įrankius ir sistemas, kaip nurodyta tyrimo išvadose.
Turinys
Lozorius išlieka itin aktyvus kibernetinių nusikaltėlių kraštovaizdžio veikėjas
Saugumo analitikai atskleidė daugybę atakų operacijų, susijusių su nusistovėjusia įsilaužimo grupe „Lazarus“, kuri išgarsėjo dėl tariamos kriptovaliutos vagystės, kurios vertė 2022 m. siekė 1,7 mlrd. USD. Stebėtina, kad per mažiau nei metus ši grupė buvo susietas su trimis dokumentais pagrįstomis kampanijomis. Kibernetinės nusikalstamos operacijos rodo, kad atliekant šias operacijas pakartotinai naudojama identiška infrastruktūra.
„Lazarus“ atvirojo kodo įrankių pritaikymas sukėlė susirūpinimą dėl jo poveikio priskyrimo procesui ir naudojimo ciklo pagreitėjimui. Naudodami atvirojo kodo įrankius, įsilaužėliai sugeba sumažinti įtarimus ir apeiti poreikį kurti galimybes nuo nulio. Pažymėtina, kad daugybė atvirojo kodo įrankių, iš pradžių skirtų teisėtoms gynybos ir puolimo užduotims, tapo įvairių kibernetinių nusikaltėlių grupių kenkėjiškų arsenalų dalimi.
Populiarios verslo programinės įrangos paketo pažeidžiamumų išnaudojimas
Įvykiai, apie kuriuos pranešta, apima pažeidžiamumo, turinčio įtakos „ManageEngine ServiceDesk“, išnaudojimą. „ManageEngine“ siūlomas rinkinys yra naudojamas daugelyje įmonių, įskaitant daugumą „Fortune 100“ organizacijų. Programinė įranga naudojama valdyti IT infrastruktūrą, tinklus, serverius, programas, galinius taškus ir kitas funkcijas. Sausio mėnesį už produktą atsakinga įmonė oficialiai pripažino, kad yra pažeidžiamumas, pavadintas CVE-2022-47966. Įvairios saugos įmonės paskelbė įspėjimus dėl aktyvaus piktybinių veikėjų išnaudojimo.
QuiteRAT lieka paslėptas pažeistuose įrenginiuose
QuiteRAT suteikia įsilaužėliams galimybę kaupti informaciją iš pažeisto įrenginio. Grėsmė taip pat aprūpinta funkcija, leidžiančia jai įjungti „miego“ režimą iš anksto nustatytam laikui, kad būtų lengviau nuslėpti savo buvimą pažeistame tinkle.
Palyginti su savo pirmtaku MagicRAT, kurį Lazarus įsilaužėliai pristatė 2022 m. balandžio mėn., QuiteRAT gali pasigirti žymiai mažesniu dydžiu. Jis yra tik 4–5 MB, visų pirma dėl to, kad pažeistame tinkle nėra būdingų patvarumo galimybių. Dėl to įsilaužėliai vėliau turi įdiegti atskirą atkaklumo funkciją.
Implantų panašumai rodo, kad QuiteRAT yra kilęs iš MagicRAT linijos. Be bendro pasitikėjimo Qt sistema, abi grėsmės turi panašias funkcijas, įskaitant savavališkų komandų vykdymą užkrėstoje sistemoje.
Kartu su savo kenkėjiška programa „QuiteRAT“ mokslininkai pastebėjo, kad „Lazarus Group“ naudoja kitą anksčiau nežinomą grėsmę, pavadintą „CollectionRAT“. Ši kenkėjiška programa turi standartines nuotolinės prieigos Trojos arklys (RAT) galimybes, leidžiančias vykdyti savavališkas komandas pažeistose sistemose.
