AgakRAT
Kolektif penggodaman terkenal yang bertindak bagi pihak Korea Utara telah menggunakan varian baru perisian hasad untuk menyasarkan organisasi penjagaan kesihatan dan infrastruktur internet kritikal di seluruh Eropah dan Amerika Syarikat. Jenis perisian hasad lanjutan ini, yang dikenal pasti oleh penyelidik sebagai QuiteRAT, berkongsi banyak ciri dengan jenis perisian hasad yang diperhatikan sebelum ini yang digunakan oleh kumpulan Lazarus APT . Walau bagaimanapun, ia mempunyai tahap kerumitan yang tinggi, menjadikannya lebih mencabar bagi pembela untuk menganalisis dan mengatasi. Selain itu, semasa peringkat pelanggaran awal operasi mereka, penggodam juga memanfaatkan alatan dan rangka kerja sumber terbuka, seperti yang diperincikan oleh penemuan penyelidikan.
Isi kandungan
Lazarus Kekal Pelakon Amat Aktif dalam Landskap Penjenayah Siber
Penganalisis keselamatan telah mendedahkan beberapa siri operasi serangan yang melibatkan kumpulan penggodam Lazarus yang mantap, yang mendapat kemasyhuran atas dakwaan kecurian mata wang kripto bernilai $1.7 bilion pada 2022. Hebatnya, dalam tempoh kurang daripada setahun, kumpulan ini telah telah dikaitkan dengan tiga kempen yang didokumenkan. Operasi penjenayah siber mempamerkan penggunaan semula infrastruktur yang sama di seluruh operasi ini.
Penggunaan alat sumber terbuka Lazarus telah menimbulkan kebimbangan kerana kesannya terhadap proses atribusi dan pecutan kitaran eksploitasi. Dengan menggunakan alat sumber terbuka, penggodam berjaya meminimumkan syak wasangka dan memintas keperluan untuk membina keupayaan dari awal. Terutama, banyak alat sumber terbuka, yang asalnya bertujuan untuk tugas pertahanan dan serangan yang sah, telah menjadi sebahagian daripada senjata jahat pelbagai kumpulan penjenayah siber.
Memanfaatkan Kerentanan dalam Suite Perisian Perniagaan Popular
Insiden yang dilaporkan merangkumi eksploitasi kelemahan yang memberi kesan kepada ManageEngine ServiceDesk. Suite yang ditawarkan oleh ManageEngine mendapati penggunaan merentas banyak perusahaan, termasuk majoriti organisasi Fortune 100. Perisian ini digunakan dalam mengurus infrastruktur IT, rangkaian, pelayan, aplikasi, titik akhir dan fungsi lain. Pada bulan Januari, syarikat yang bertanggungjawab untuk produk itu secara rasmi mengakui kewujudan kelemahan, yang ditetapkan sebagai CVE-2022-47966. Pelbagai firma keselamatan telah mengeluarkan amaran mengenai eksploitasi aktifnya oleh pelakon yang berniat jahat.
QuiteRAT Kekal Tersembunyi pada Peranti Yang Dikompromi
QuiteRAT memberi kuasa kepada penggodam untuk mengumpul maklumat daripada peranti yang terjejas. Ancaman ini juga dilengkapi dengan fungsi yang membolehkannya memasuki mod 'tidur' untuk tempoh yang telah ditetapkan, memudahkan penyembunyian kehadirannya dalam rangkaian yang terjejas.
Berbanding dengan pelopornya, MagicRAT, yang dilancarkan oleh penggodam Lazarus pada April 2022, QuiteRAT mempunyai saiz yang lebih kecil. Ia mengukur hanya 4 hingga 5 MB, terutamanya disebabkan oleh peninggalan keupayaan kegigihan yang wujud dalam rangkaian yang dilanggar. Akibatnya, penggodam perlu memperkenalkan ciri kegigihan yang berasingan kemudiannya.
Persamaan antara implan menunjukkan bahawa QuiteRAT berpunca daripada keturunan MagicRAT . Di luar pergantungan bersama mereka pada rangka kerja Qt, kedua-dua ancaman mempamerkan fungsi yang sama, termasuk pelaksanaan arahan sewenang-wenangnya pada sistem yang dijangkiti.
Bersempena dengan perisian hasad QuiteRAT mereka, penyelidik telah memerhatikan Kumpulan Lazarus menggunakan satu lagi ancaman yang tidak diketahui sebelum ini yang digelar 'CollectionRAT.' Malware ini mempamerkan keupayaan Trojan Akses Jauh (RAT) standard, membolehkannya melaksanakan arahan sewenang-wenangnya pada sistem yang terjejas.
