Całkiem SZCZUR
Niesławny kolektyw hakerski działający w imieniu Korei Północnej wdrożył nowatorski wariant złośliwego oprogramowania, którego celem są organizacje opieki zdrowotnej i krytyczna infrastruktura internetowa w Europie i Stanach Zjednoczonych. Ta zaawansowana odmiana złośliwego oprogramowania, zidentyfikowana przez badaczy jako QuitRAT, ma wiele cech wspólnych z wcześniej zaobserwowanymi odmianami złośliwego oprogramowania wykorzystywanymi przez grupę Lazarus APT . Charakteryzuje się jednak podwyższonym poziomem złożoności, co znacznie utrudnia obrońcom analizę i przeciwdziałanie. Ponadto na początkowym etapie swoich działań hakerzy wykorzystali także narzędzia i struktury typu open source, jak szczegółowo wynika z wyników badania.
Spis treści
Lazarus pozostaje niezwykle aktywnym aktorem w krajobrazie cyberprzestępczym
Analitycy bezpieczeństwa ujawnili serię ataków z udziałem uznanej grupy hakerskiej Lazarus, która zyskała rozgłos dzięki rzekomej kradzieży kryptowaluty o wartości 1,7 miliarda dolarów w 2022 roku. Co niezwykłe, w ciągu niecałego roku grupa ta powiązano z trzema udokumentowanymi kampaniami. Operacje cyberprzestępcze wykazują ponowne wykorzystanie identycznej infrastruktury w tych operacjach.
Przyjęcie przez Lazarus narzędzi open source wzbudziło obawy ze względu na jego wpływ na proces atrybucji i przyspieszenie cyklu eksploatacji. Wykorzystując narzędzia typu open source, hakerom udaje się zminimalizować podejrzenia i ominąć potrzebę tworzenia możliwości od podstaw. Warto zauważyć, że liczne narzędzia typu open source, pierwotnie przeznaczone do uzasadnionych zadań obronnych i ofensywnych, stały się częścią szkodliwych arsenałów różnych grup cyberprzestępczych.
Wykorzystanie luk w popularnym pakiecie oprogramowania biznesowego
Zgłoszone incydenty obejmują wykorzystanie luki w zabezpieczeniach ManageEngine ServiceDesk. Pakiet oferowany przez ManageEngine znajduje zastosowanie w wielu przedsiębiorstwach, w tym w większości organizacji z listy Fortune 100. Oprogramowanie wykorzystywane jest do zarządzania infrastrukturą IT, sieciami, serwerami, aplikacjami, punktami końcowymi i innymi funkcjonalnościami. W styczniu firma odpowiedzialna za produkt oficjalnie potwierdziła istnienie luki, oznaczonej jako CVE-2022-47966. Różne firmy zajmujące się bezpieczeństwem wydały alerty dotyczące aktywnego wykorzystania tego narzędzia przez złośliwych aktorów.
QuitRAT pozostaje ukryty na zainfekowanych urządzeniach
QuitRAT umożliwia hakerom gromadzenie informacji z zaatakowanego urządzenia. Zagrożenie jest również wyposażone w funkcję umożliwiającą mu przejście w tryb „uśpienia” na określony czas, co ułatwia ukrycie jego obecności w zaatakowanej sieci.
W porównaniu do swojego poprzednika, MagicRAT, zaprezentowanego przez hakerów Lazarus w kwietniu 2022 r., QuitRAT może pochwalić się znacznie mniejszym rozmiarem. Mierzy zaledwie 4 do 5 MB, głównie z powodu pominięcia nieodłącznych funkcji trwałości w naruszonej sieci. W rezultacie hakerzy muszą później wprowadzić oddzielną funkcję utrwalania.
Podobieństwa pomiędzy implantami sugerują, że QuitRAT wywodzi się z linii MagicRAT . Oprócz wspólnego polegania na frameworku Qt oba zagrożenia wykazują podobne funkcjonalności, w tym wykonywanie dowolnych poleceń w zainfekowanym systemie.
W połączeniu ze złośliwym oprogramowaniem QuitRAT badacze zaobserwowali, że Grupa Lazarus wykorzystuje inne nieznane wcześniej zagrożenie o nazwie „CollectionRAT”. Szkodnik ten wykazuje standardowe możliwości trojana zdalnego dostępu (RAT), umożliwiając mu wykonywanie dowolnych poleceń w zaatakowanych systemach.
