HeelRAT
Een berucht hackerscollectief dat namens Noord-Korea optreedt, heeft een nieuwe variant van malware ingezet om gezondheidszorgorganisaties en kritieke internetinfrastructuur in heel Europa en de Verenigde Staten aan te vallen. Deze geavanceerde vorm van malware, door onderzoekers geïdentificeerd als QuietRAT, deelt talrijke kenmerken met eerder waargenomen malwaresoorten die worden gebruikt door de Lazarus APT- groep. Het heeft echter een hoger niveau van complexiteit, waardoor het voor verdedigers aanzienlijk uitdagender wordt om te analyseren en tegen te gaan. Bovendien maakten de hackers tijdens de eerste inbreukfase van hun operaties ook gebruik van open source-tools en -frameworks, zoals beschreven in de onderzoeksresultaten.
Inhoudsopgave
Lazarus blijft een uiterst actieve speler in het cybercriminele landschap
Beveiligingsanalisten hebben een reeks aanvalsoperaties aan het licht gebracht waarbij de gevestigde hackgroep Lazarus betrokken was, die bekendheid verwierf vanwege de vermeende diefstal van cryptocurrency ter waarde van $1,7 miljard in 2022. Opmerkelijk genoeg heeft deze groep binnen een tijdsbestek van minder dan een jaar gekoppeld aan drie gedocumenteerde campagnes. De cybercriminele operaties vertonen het hergebruik van identieke infrastructuur bij deze operaties.
De adoptie van open-sourcetools door Lazarus heeft aanleiding gegeven tot bezorgdheid vanwege de impact ervan op het attributieproces en de versnelling van de exploitatiecyclus. Door gebruik te maken van open source-tools slagen de hackers erin om argwaan te minimaliseren en de noodzaak te omzeilen om vanaf het begin mogelijkheden op te bouwen. Opvallend is dat talloze open source-tools, oorspronkelijk bedoeld voor legitieme defensieve en offensieve taken, onderdeel zijn geworden van de kwaadaardige arsenalen van verschillende cybercriminele groepen.
Het exploiteren van kwetsbaarheden in populaire zakelijke softwarepakketten
De gemelde incidenten omvatten de exploitatie van een kwetsbaarheid die invloed heeft op ManageEngine ServiceDesk. De suite die door ManageEngine wordt aangeboden, wordt door talloze ondernemingen gebruikt, waaronder de meeste Fortune 100-organisaties. De software wordt gebruikt bij het beheer van de IT-infrastructuur, netwerken, servers, applicaties, eindpunten en andere functionaliteiten. In januari erkende het bedrijf dat verantwoordelijk was voor het product officieel het bestaan van de kwetsbaarheid, aangeduid als CVE-2022-47966. Verschillende beveiligingsbedrijven hebben waarschuwingen afgegeven over de actieve uitbuiting ervan door kwaadwillende actoren.
QuietRAT blijft verborgen op gecompromitteerde apparaten
QuietRAT stelt de hackers in staat informatie van het aangetaste apparaat te verzamelen. De dreiging is ook uitgerust met een functie die het mogelijk maakt om gedurende een vooraf gedefinieerde tijdsduur in een 'slaapmodus' te gaan, waardoor het verbergen van zijn aanwezigheid binnen een gecompromitteerd netwerk wordt vergemakkelijkt.
Vergeleken met zijn voorloper, MagicRAT, onthuld door de Lazarus-hackers in april 2022, heeft QuitRAT een opmerkelijk kleiner formaat. Het meet slechts 4 tot 5 MB, voornamelijk als gevolg van het weglaten van inherente persistentiemogelijkheden binnen het geschonden netwerk. Als gevolg hiervan moeten de hackers later een afzonderlijke persistentiefunctie introduceren.
Overeenkomsten tussen de implantaten suggereren dat QuietRAT voortkomt uit de lijn van MagicRAT . Naast hun gedeelde afhankelijkheid van het Qt-framework vertonen beide bedreigingen vergelijkbare functionaliteiten, waaronder de uitvoering van willekeurige opdrachten op het geïnfecteerde systeem.
In combinatie met hun QuietRAT-malware hebben onderzoekers waargenomen dat de Lazarus Group een andere voorheen onbekende bedreiging gebruikte, genaamd 'CollectionRAT'. Deze malware beschikt over standaard Remote Access Trojan (RAT)-mogelijkheden, waardoor willekeurige opdrachten op de besmette systemen kunnen worden uitgevoerd.
