QuiteRAT
Um infame coletivo de hackers que atua em nome da Coreia do Norte implantou uma nova variante de malware para atingir organizações de saúde e infraestruturas críticas da Internet na Europa e nos Estados Unidos. Esta cepa avançada de malware, identificada pelos pesquisadores como QuiteRAT, compartilha inúmeras características com cepas de malware previamente observadas e empregadas pelo grupo Lazarus APT. No entanto, possui um elevado nível de complexidade, tornando consideravelmente mais difícil para os defensores analisar e neutralizar. Além disso, durante a fase inicial de violação das suas operações, os hackers também aproveitaram ferramentas e estruturas de código aberto, conforme detalhado nos resultados da investigação.
Índice
O Lazarus Continua sendo um Autor Extremamente Ativo no Cenário Cibercriminoso
Analistas de segurança trouxeram à luz uma série de operações de ataque envolvendo o bem estabelecido grupo de hackers Lazarus, que ganhou notoriedade por seu suposto roubo de criptomoeda avaliada em US$1,7 bilhão em 2022. Notavelmente, em um período de menos de um ano, esse grupo foram vinculados a três campanhas documentadas. As operações cibercriminosas apresentam a reutilização de infraestruturas idênticas nessas operações.
A adoção de ferramentas de código aberto pelo Lazarus levantou preocupações devido ao seu impacto no processo de atribuição e na aceleração do ciclo de exploração. Ao empregar ferramentas de código aberto, os hackers conseguem minimizar as suspeitas e contornar a necessidade de construir capacidades do zero. Notavelmente, inúmeras ferramentas de código aberto, originalmente destinadas a tarefas defensivas e ofensivas legítimas, tornaram-se parte dos arsenais maliciosos de vários grupos cibercriminosos.
Explorando Vulnerabilidades em um Pacote Popular de Software Empresarial
Os incidentes relatados abrangem a exploração de uma vulnerabilidade que afeta o ManageEngine ServiceDesk. O pacote oferecido pela ManageEngine é utilizado em inúmeras empresas, incluindo a maioria das organizações Fortune 100. O software é utilizado no gerenciamento de infraestrutura de TI, redes, servidores, aplicativos, end-points e outras funcionalidades. Em janeiro, a empresa responsável pelo produto reconheceu oficialmente a existência da vulnerabilidade, designada como CVE-2022-47966. Várias empresas de segurança emitiram alertas sobre a sua exploração ativa por agentes maliciosos.
O QuiteRAT Permanece Oculto nos Dispositivos Comprometidos
O QuiteRAT permite que os hackers acumulem informações do dispositivo comprometido. A ameaça também está equipada com uma função que lhe permite entrar em modo de “hibernação” por períodos predefinidos, facilitando a ocultação da sua presença numa rede comprometida.
Comparado com seu antecessor, MagicRAT, revelado pelos hackers do Lazarus em abril de 2022, o QuiteRAT possui um tamanho notavelmente menor. Ele mede apenas 4 a 5 MB, principalmente devido à omissão de capacidades de persistência inerentes à rede violada. Como resultado, os hackers precisam introduzir posteriormente um recurso de persistência separado.
As semelhanças entre os implantes sugerem que o QuiteRAT deriva da linhagem do MagicRAT. Além da dependência compartilhada da estrutura Qt, ambas as ameaças exibem funcionalidades semelhantes, incluindo a execução de comandos arbitrários no sistema infectado.
Em conjunto com o malware QuiteRAT, os pesquisadores observaram o Grupo Lazarus empregando outra ameaça até então desconhecida chamada ‘CollectionRAT’. Este malware exibe recursos padrão de Trojan de acesso remoto (RAT), permitindo executar comandos arbitrários nos sistemas comprometidos.