GanskeRAT
Et beryktet hackerkollektiv som handler på vegne av Nord-Korea har distribuert en ny variant av skadelig programvare for å målrette helseorganisasjoner og kritisk internettinfrastruktur over hele Europa og USA. Denne avanserte stammen av skadelig programvare, identifisert av forskere som QuiteRAT, deler en rekke kjennetegn med tidligere observerte skadevarestammer brukt av Lazarus APT- gruppen. Imidlertid har den et forhøyet kompleksitetsnivå, noe som gjør det betydelig mer utfordrende for forsvarere å analysere og motvirke. I tillegg, under det innledende bruddstadiet av operasjonene, utnyttet hackerne også åpen kildekode-verktøy og rammeverk, som beskrevet i forskningsresultatene.
Innholdsfortegnelse
Lazarus er fortsatt en ekstremt aktiv skuespiller i det nettkriminelle landskapet
Sikkerhetsanalytikere har avdekket en rekke angrepsoperasjoner som involverer den veletablerte Lazarus hackergruppen, som ble kjent for sitt påståtte tyveri av kryptovaluta til en verdi av 1,7 milliarder dollar i 2022. Bemerkelsesverdig nok har denne gruppen i løpet av mindre enn ett år vært knyttet til tre dokumenterte kampanjer. De cyberkriminelle operasjonene viser gjenbruk av identisk infrastruktur på tvers av disse operasjonene.
Lazarus' bruk av åpen kildekode-verktøy har skapt bekymring på grunn av dens innvirkning på attribusjonsprosessen og akselerasjonen av utnyttelsessyklusen. Ved å bruke åpen kildekode-verktøy klarer hackerne å minimere mistanke og omgå behovet for å bygge kapasiteter fra bunnen av. Spesielt har mange åpen kildekode-verktøy, opprinnelig ment for legitime defensive og offensive oppgaver, blitt en del av de ondsinnede arsenalene til forskjellige nettkriminelle grupper.
Utnyttelse av sårbarheter i Popular Business Software Suite
De rapporterte hendelsene omfatter utnyttelse av en sårbarhet som påvirker ManageEngine ServiceDesk. Suiten som tilbys av ManageEngine finner bruk på tvers av en rekke bedrifter, inkludert flertallet av Fortune 100-organisasjoner. Programvaren brukes til å administrere IT-infrastruktur, nettverk, servere, applikasjoner, endepunkter og andre funksjoner. I januar erkjente selskapet som var ansvarlig for produktet offisielt eksistensen av sårbarheten, utpekt som CVE-2022-47966. Ulike sikkerhetsfirmaer har sendt ut varsler om aktiv utnyttelse av ondsinnede aktører.
QuiteRAT forblir skjult på kompromitterte enheter
QuiteRAT gir hackerne mulighet til å samle informasjon fra den kompromitterte enheten. Trusselen er også utstyrt med en funksjon som gjør den i stand til å gå inn i en "dvale"-modus for forhåndsdefinerte varigheter, noe som gjør det lettere å skjule sin tilstedeværelse i et kompromittert nettverk.
Sammenlignet med forløperen, MagicRAT, avduket av Lazarus-hackerne i april 2022, har QuiteRAT en betydelig mindre størrelse. Den måler bare 4 til 5 MB, først og fremst på grunn av utelatelsen av iboende utholdenhetsevner innenfor det brutte nettverket. Som et resultat må hackerne introdusere en egen utholdenhetsfunksjon etterpå.
Likheter mellom implantatene tyder på at QuiteRAT stammer fra avstamningen til MagicRAT . Utover deres delte avhengighet av Qt-rammeverket, viser begge truslene lignende funksjoner, inkludert utførelse av vilkårlige kommandoer på det infiserte systemet.
I forbindelse med deres QuiteRAT malware, har forskere observert at Lazarus Group bruker en annen tidligere ukjent trussel kalt 'CollectionRAT'. Denne skadelige programvaren har standard evner for Remote Access Trojan (RAT), som gjør den i stand til å utføre vilkårlige kommandoer på de kompromitterte systemene.
