Precej RAT
Zloglasna hekerska skupina, ki deluje v imenu Severne Koreje, je uporabila novo različico zlonamerne programske opreme, ki cilja na zdravstvene organizacije in kritično internetno infrastrukturo po Evropi in Združenih državah. Ta napredna različica zlonamerne programske opreme, ki so jo raziskovalci identificirali kot QuiteRAT, ima številne skupne značilnosti s predhodno opaženimi različicami zlonamerne programske opreme, ki jih uporablja skupina Lazarus APT . Vendar pa ima visoko stopnjo kompleksnosti, zaradi česar je za obrambne igralce veliko večji izziv za analizo in preprečevanje. Poleg tega so hekerji med začetno stopnjo vdora svojih operacij uporabili tudi odprtokodna orodja in okvire, kot je podrobno opisano v ugotovitvah raziskave.
Kazalo
Lazarus ostaja izjemno aktiven akter v krajini kibernetskega kriminala
Varnostni analitiki so razkrili vrsto napadov, ki vključujejo dobro uveljavljeno hekersko skupino Lazarus, ki je zaslovela zaradi domnevne kraje kriptovalute, ocenjene na 1,7 milijarde dolarjev leta 2022. Zanimivo je, da je ta skupina v manj kot enem letu uspela je bil povezan s tremi dokumentiranimi kampanjami. Operacije kibernetskega kriminala kažejo ponovno uporabo enake infrastrukture v teh operacijah.
Lazarusovo sprejetje odprtokodnih orodij je sprožilo zaskrbljenost zaradi vpliva na postopek dodeljevanja in pospešitev cikla izkoriščanja. Z uporabo odprtokodnih orodij hekerjem uspe zmanjšati sum in se izogniti potrebi po izgradnji zmogljivosti iz nič. Predvsem številna odprtokodna orodja, prvotno namenjena legitimnim obrambnim in ofenzivnim nalogam, so postala del zlonamernih arzenalov različnih kibernetskih kriminalnih skupin.
Izkoriščanje ranljivosti v priljubljeni zbirki poslovne programske opreme
Prijavljeni incidenti zajemajo izkoriščanje ranljivosti, ki vpliva na ManageEngine ServiceDesk. Paket, ki ga ponuja ManageEngine, se uporablja v številnih podjetjih, vključno z večino organizacij s seznama Fortune 100. Programska oprema se uporablja pri upravljanju IT infrastrukture, omrežij, strežnikov, aplikacij, končnih točk in drugih funkcij. Januarja je podjetje, odgovorno za izdelek, uradno priznalo obstoj ranljivosti, označene kot CVE-2022-47966. Različna varnostna podjetja so izdala opozorila glede njegovega aktivnega izkoriščanja s strani zlonamernih akterjev.
QuiteRAT ostane skrit na ogroženih napravah
QuiteRAT omogoča hekerjem, da zbirajo informacije iz ogrožene naprave. Grožnja je opremljena tudi s funkcijo, ki ji omogoča, da preide v način 'mirovanja' za vnaprej določeno trajanje, kar olajša prikrivanje njene prisotnosti v ogroženem omrežju.
V primerjavi s svojim predhodnikom MagicRAT, ki so ga aprila 2022 predstavili hekerji Lazarus, se QuiteRAT ponaša z občutno manjšo velikostjo. Meri le 4 do 5 MB, predvsem zaradi opustitve inherentnih zmožnosti vztrajnosti znotraj vdora v omrežje. Posledično morajo hekerji naknadno uvesti ločeno funkcijo obstojnosti.
Podobnosti med vsadki kažejo, da QuiteRAT izvira iz linije MagicRAT . Poleg skupne odvisnosti od ogrodja Qt imata obe grožnji podobne funkcije, vključno z izvajanjem poljubnih ukazov v okuženem sistemu.
V povezavi z njihovo zlonamerno programsko opremo QuiteRAT so raziskovalci opazili, da skupina Lazarus uporablja še eno prej neznano grožnjo, imenovano 'CollectionRAT.' Ta zlonamerna programska oprema ima standardne zmožnosti trojanca za oddaljeni dostop (RAT), ki ji omogočajo izvajanje poljubnih ukazov v ogroženih sistemih.
