QuiteRAT
Bēdīgi slavens hakeru kolektīvs, kas darbojas Ziemeļkorejas vārdā, ir izvietojis jaunu ļaunprātīgas programmatūras variantu, lai mērķētu uz veselības aprūpes organizācijām un kritisko interneta infrastruktūru visā Eiropā un Amerikas Savienotajās Valstīs. Šim progresīvajam ļaunprogrammatūras celmam, ko pētnieki identificējuši kā QuiteRAT, ir daudz kopīgu īpašību ar iepriekš novērotajiem ļaunprātīgas programmatūras celmiem, ko izmantoja grupa Lazarus APT . Tomēr tai ir paaugstināts sarežģītības līmenis, padarot aizsargiem daudz grūtāk analizēt un neitralizēt. Turklāt savas darbības sākotnējā pārkāpuma posmā hakeri izmantoja arī atvērtā pirmkoda rīkus un ietvarus, kā norādīts pētījuma atklājumos.
Satura rādītājs
Lācars joprojām ir ārkārtīgi aktīvs aktieris kibernoziedznieku ainavā
Drošības analītiķi ir atklājuši virkni uzbrukumu operāciju, kurās bija iesaistīta labi izveidotā hakeru grupa Lazarus, kas ieguva bēdīgu slavu ar savu iespējamo kriptovalūtas zādzību, kuras vērtība 2022. gadā bija USD 1,7 miljardi. Jāatzīmē, ka nepilna gada laikā šī grupa ir veikusi ir saistīta ar trim dokumentētām kampaņām. Kibernoziedzīgās darbības liecina, ka šajās operācijās tiek atkārtoti izmantota identiska infrastruktūra.
Lazarus atvērtā pirmkoda rīku pieņemšana ir radījusi bažas, jo tā ietekmē attiecināšanas procesu un ekspluatācijas cikla paātrināšanos. Izmantojot atvērtā pirmkoda rīkus, hakeriem izdodas samazināt aizdomas un apiet nepieciešamību izveidot iespējas no nulles. Jāatzīmē, ka daudzi atvērtā pirmkoda rīki, kas sākotnēji bija paredzēti likumīgiem aizsardzības un uzbrukuma uzdevumiem, ir kļuvuši par dažādu kibernoziedznieku grupu ļaunprātīgo arsenālu daļu.
Populārā biznesa programmatūras komplekta ievainojamību izmantošana
Ziņotie incidenti ietver ievainojamības izmantošanu, kas ietekmē ManageEngine ServiceDesk. ManageEngine piedāvātais komplekts tiek izmantots daudzos uzņēmumos, tostarp lielākajā daļā Fortune 100 organizāciju. Programmatūra tiek izmantota IT infrastruktūras, tīklu, serveru, lietojumprogrammu, galapunktu un citu funkcionalitātes pārvaldīšanai. Janvārī uzņēmums, kas ir atbildīgs par produktu, oficiāli atzina ievainojamības esamību, kas apzīmēta kā CVE-2022-47966. Dažādas apsardzes firmas ir izdevušas brīdinājumus par to, ka ļaunprātīgi dalībnieki to aktīvi izmanto.
QuiteRAT paliek paslēpts apdraudētajās ierīcēs
QuiteRAT sniedz hakeriem iespēju uzkrāt informāciju no apdraudētās ierīces. Draudi ir aprīkoti arī ar funkciju, kas ļauj tam pārslēgties "miega" režīmā uz iepriekš noteiktu laiku, atvieglojot tā klātbūtnes slēpšanu apdraudētā tīklā.
Salīdzinot ar tā priekšteci MagicRAT, ko Lazarus hakeri atklāja 2022. gada aprīlī, QuiteRAT ir ievērojami mazāks izmērs. Tas mēra tikai no 4 līdz 5 MB, galvenokārt tāpēc, ka bojātajam tīklam trūkst raksturīgo noturības iespēju. Rezultātā hakeriem vēlāk ir jāievieš atsevišķa noturības funkcija.
Implantu līdzības liecina, ka QuiteRAT izriet no MagicRAT ciltsraksta. Abiem draudiem ir ne tikai kopīga paļaušanās uz Qt sistēmu, bet arī līdzīgas funkcijas, tostarp patvaļīgu komandu izpilde inficētajā sistēmā.
Saistībā ar QuiteRAT ļaunprogrammatūru pētnieki ir novērojuši, ka Lazarus grupa izmanto citu iepriekš nezināmu draudu, kas nodēvēts par "CollectionRAT". Šai ļaunprogrammatūrai ir standarta attālās piekļuves Trojas zirga (RAT) iespējas, kas ļauj tai izpildīt patvaļīgas komandas apdraudētajās sistēmās.
