вполне КРЫСА
Печально известный хакерский коллектив, действующий от имени Северной Кореи, развернул новый вариант вредоносного ПО для атак на организации здравоохранения и критически важную интернет-инфраструктуру в Европе и США. Этот продвинутый штамм вредоносного ПО, идентифицированный исследователями как QuiteRAT, имеет множество общих характеристик с ранее обнаруженными штаммами вредоносного ПО, используемыми группой Lazarus APT . Однако он обладает повышенным уровнем сложности, из-за чего защитникам значительно сложнее анализировать и противодействовать. Кроме того, как показано в результатах исследования, на начальном этапе взлома хакеры также использовали инструменты и платформы с открытым исходным кодом.
Оглавление
Лазарь остается чрезвычайно активным игроком в сфере киберпреступности
Аналитики безопасности выявили серию атак с участием хорошо зарекомендовавшей себя хакерской группы Lazarus, которая получила известность благодаря предполагаемой краже криптовалюты на сумму 1,7 миллиарда долларов в 2022 году. Примечательно, что менее чем за год эта группа был связан с тремя задокументированными кампаниями. Киберпреступные операции демонстрируют повторное использование идентичной инфраструктуры в ходе этих операций.
Использование Lazarus инструментов с открытым исходным кодом вызвало обеспокоенность из-за его влияния на процесс атрибуции и ускорения цикла эксплуатации. Используя инструменты с открытым исходным кодом, хакерам удается свести к минимуму подозрения и избежать необходимости создавать возможности с нуля. Примечательно, что многочисленные инструменты с открытым исходным кодом, изначально предназначенные для законных оборонительных и наступательных задач, стали частью вредоносного арсенала различных киберпреступных группировок.
Использование уязвимостей в популярном пакете программного обеспечения для бизнеса
Сообщенные инциденты связаны с эксплуатацией уязвимости, которая влияет на ManageEngine ServiceDesk. Пакет, предлагаемый ManageEngine, находит применение на многих предприятиях, включая большинство организаций из списка Fortune 100. Программное обеспечение используется для управления ИТ-инфраструктурой, сетями, серверами, приложениями, конечными точками и другими функциями. В январе компания, создавшая продукт, официально признала наличие уязвимости, получившей обозначение CVE-2022-47966. Различные охранные фирмы выпустили предупреждения об активной эксплуатации злоумышленниками.
QuiteRAT остается скрытым на взломанных устройствах
QuiteRAT позволяет хакерам собирать информацию со скомпрометированного устройства. Угроза также оснащена функцией, которая позволяет ей переходить в «спящий» режим на заранее заданный период времени, что облегчает сокрытие ее присутствия в скомпрометированной сети.
По сравнению со своим предшественником MagicRAT, представленным хакерами Lazarus в апреле 2022 года, QuiteRAT может похвастаться заметно меньшим размером. Его размер составляет всего 4–5 МБ, в первую очередь из-за отсутствия встроенных возможностей сохранения данных в поврежденной сети. В результате хакерам впоследствии приходится внедрять отдельную функцию персистентности.
Сходство между имплантатами позволяет предположить, что QuiteRAT происходит от линии MagicRAT . Помимо общей зависимости от платформы Qt, обе угрозы обладают схожими функциями, включая выполнение произвольных команд в зараженной системе.
В сочетании со своим вредоносным ПО QuiteRAT исследователи заметили, что Lazarus Group использует еще одну ранее неизвестную угрозу, получившую название «CollectionRAT». Это вредоносное ПО обладает стандартными возможностями трояна удаленного доступа (RAT), что позволяет ему выполнять произвольные команды на взломанных системах.
