Destul de RAT
Un infam colectiv de hacking care acționează în numele Coreei de Nord a implementat o nouă variantă de malware pentru a viza organizațiile medicale și infrastructura critică de internet din Europa și Statele Unite. Această tulpină avansată de malware, identificată de cercetători drept QuiteRAT, împărtășește numeroase caracteristici cu tulpinile de malware observate anterior, folosite de grupul Lazarus APT . Cu toate acestea, posedă un nivel ridicat de complexitate, ceea ce face considerabil mai dificil de analizat și de contracarat pentru apărători. În plus, în timpul etapei inițiale de încălcare a operațiunilor lor, hackerii au folosit, de asemenea, instrumente și cadre open-source, așa cum se detaliază în rezultatele cercetării.
Cuprins
Lazarus rămâne un actor extrem de activ în peisajul criminalului cibernetic
Analiștii de securitate au scos la iveală o serie de operațiuni de atac care implică bine-stabilitul grup de hacking Lazarus, care și-a câștigat notorietate pentru presupusul său furt de criptomonede evaluate la 1,7 miliarde de dolari în 2022. Remarcabil, într-un interval de mai puțin de un an, acest grup a a fost legat de trei campanii documentate. Operațiunile infracționale cibernetice prezintă reutilizarea unei infrastructuri identice în cadrul acestor operațiuni.
Adoptarea de către Lazarus a instrumentelor open-source a stârnit îngrijorări din cauza impactului său asupra procesului de atribuire și a accelerării ciclului de exploatare. Utilizând instrumente open-source, hackerii reușesc să minimizeze suspiciunile și să ocolească nevoia de a construi capabilități de la zero. În special, numeroase instrumente open-source, destinate inițial unor sarcini defensive și ofensive legitime, au devenit parte din arsenalele rău intenționate ale diferitelor grupuri de criminali cibernetici.
Exploatarea vulnerabilităților în Popular Business Software Suite
Incidentele raportate includ exploatarea unei vulnerabilități care afectează ManageEngine ServiceDesk. Suita oferită de ManageEngine este utilizată în numeroase întreprinderi, inclusiv în majoritatea organizațiilor Fortune 100. Software-ul este utilizat în gestionarea infrastructurii IT, rețelelor, serverelor, aplicațiilor, punctelor finale și a altor funcționalități. În ianuarie, compania responsabilă de produs a recunoscut oficial existența vulnerabilității, denumită CVE-2022-47966. Diverse firme de securitate au emis alerte cu privire la exploatarea sa activă de către actori rău intenționați.
QuiteRAT rămâne ascuns pe dispozitivele compromise
QuiteRAT dă putere hackerilor să adune informații de pe dispozitivul compromis. De asemenea, amenințarea este echipată cu o funcție care îi permite să intre într-un mod „sleep” pentru durate predefinite, facilitând ascunderea prezenței sale într-o rețea compromisă.
În comparație cu precursorul său, MagicRAT, dezvăluit de hackerii Lazarus în aprilie 2022, QuiteRAT se mândrește cu o dimensiune semnificativ mai mică. Măsoară doar 4 până la 5 MB, în principal din cauza omiterii capacităților de persistență inerente în rețeaua afectată. Ca rezultat, hackerii trebuie să introducă ulterior o caracteristică de persistență separată.
Asemănările dintre implanturi sugerează că QuiteRAT provine din descendența MagicRAT . Dincolo de dependența lor comună de cadrul Qt, ambele amenințări prezintă funcționalități similare, inclusiv executarea de comenzi arbitrare pe sistemul infectat.
În combinație cu programul lor malware QuiteRAT, cercetătorii au observat că Grupul Lazarus folosește o altă amenințare necunoscută anterior, numită „CollectionRAT”. Acest malware prezintă capabilități standard de troian de acces la distanță (RAT), permițându-i să execute comenzi arbitrare pe sistemele compromise.
