QuiteRAT
Neslávne známy hackerský kolektív konajúci v mene Severnej Kórey nasadil nový variant malvéru s cieľom zamerať sa na zdravotnícke organizácie a kritickú internetovú infraštruktúru v celej Európe a Spojených štátoch. Tento pokročilý kmeň malvéru, identifikovaný výskumníkmi ako QuiteRAT, zdieľa mnohé charakteristiky s predtým pozorovanými kmeňmi malvéru, ktoré používa skupina Lazarus APT . Má však zvýšenú úroveň zložitosti, vďaka čomu je pre obrancov oveľa náročnejšie analyzovať a pôsobiť proti nim. Okrem toho, počas počiatočnej fázy narušenia ich operácií, hackeri tiež využívali nástroje a rámce s otvoreným zdrojovým kódom, ako je podrobne uvedené v zisteniach výskumu.
Obsah
Lazarus zostáva mimoriadne aktívnym aktérom v krajine kyberzločincov
Bezpečnostní analytici odhalili sériu útočných operácií, do ktorých bola zapojená dobre zavedená hackerská skupina Lazarus, ktorá sa preslávila údajnou krádežou kryptomien v hodnote 1,7 miliardy dolárov v roku 2022. Je pozoruhodné, že v priebehu menej ako jedného roka sa tejto skupine podarilo boli spojené s tromi zdokumentovanými kampaňami. Kyberzločinecké operácie vykazujú opätovné použitie identickej infraštruktúry v rámci týchto operácií.
Lazarusovo prijatie open-source nástrojov vyvolalo obavy z dôvodu ich vplyvu na proces pripisovania a zrýchlenie cyklu využívania. Použitím nástrojov s otvoreným zdrojovým kódom sa hackerom darí minimalizovať podozrenie a obísť potrebu budovať schopnosti od začiatku. Pozoruhodné je, že početné open-source nástroje, pôvodne určené na legitímne obranné a útočné úlohy, sa stali súčasťou zákerných arzenálov rôznych kyberzločineckých skupín.
Využitie slabých miest v balíku obľúbeného podnikového softvéru
Hlásené incidenty zahŕňajú zneužitie zraniteľnosti, ktorá ovplyvňuje ManageEngine ServiceDesk. Sada, ktorú ponúka ManageEngine, nachádza využitie v mnohých podnikoch vrátane väčšiny organizácií z rebríčka Fortune 100. Softvér sa využíva pri správe IT infraštruktúry, sietí, serverov, aplikácií, koncových bodov a ďalších funkcií. V januári spoločnosť zodpovedná za produkt oficiálne potvrdila existenciu zraniteľnosti označenej ako CVE-2022-47966. Rôzne bezpečnostné firmy vydali upozornenia týkajúce sa jeho aktívneho využívania škodlivými činiteľmi.
QuiteRAT zostáva skrytý na kompromitovaných zariadeniach
QuiteRAT umožňuje hackerom zhromažďovať informácie z napadnutého zariadenia. Hrozba je vybavená aj funkciou, ktorá jej umožňuje vstúpiť do „režimu spánku“ na vopred definované trvanie, čo uľahčuje utajenie jej prítomnosti v kompromitovanej sieti.
V porovnaní so svojím predchodcom MagicRAT, ktorý odhalili hackeri Lazarus v apríli 2022, sa QuiteRAT môže pochváliť výrazne menšou veľkosťou. Meria iba 4 až 5 MB, predovšetkým kvôli vynechaniu vlastných perzistentných schopností v narušenej sieti. V dôsledku toho musia hackeri následne zaviesť samostatnú funkciu perzistencie.
Podoba medzi implantátmi naznačuje, že QuiteRAT pochádza z línie MagicRAT . Okrem spoločného spoliehania sa na rámec Qt obe hrozby vykazujú podobné funkcie, vrátane vykonávania ľubovoľných príkazov na infikovanom systéme.
V spojení s ich malvérom QuiteRAT výskumníci spozorovali, že skupina Lazarus používa ďalšiu predtým neznámu hrozbu s názvom „CollectionRAT“. Tento malvér vykazuje štandardné schopnosti vzdialeného prístupu Trojan (RAT), ktorý mu umožňuje vykonávať ľubovoľné príkazy na napadnutých systémoch.
