КуитеРАТ
Злогласни хакерски колектив који делује у име Северне Кореје применио је нову варијанту малвера да циља здравствене организације и критичну интернет инфраструктуру широм Европе и Сједињених Држава. Овај напредни сој малвера, који су истраживачи идентификовали као КуитеРАТ, дели бројне карактеристике са претходно примећеним сојевима малвера које користи Лазарус АПТ група. Међутим, он поседује повишен ниво сложености, што га чини знатно изазовнијим за дефанзивце да анализирају и да се супротставе. Поред тога, током почетне фазе пробоја својих операција, хакери су такође користили алате и оквире отвореног кода, као што је детаљно наведено у налазима истраживања.
Преглед садржаја
Лазарус остаје изузетно активан глумац у сајбер криминалном пејзажу
Безбедносни аналитичари су изнели на видело низ операција напада у које је укључена добро успостављена хакерска група Лазарус, која је постала позната због своје наводне крађе криптовалуте у вредности од 1,7 милијарди долара 2022. Занимљиво је да је за мање од годину дана ова група је повезан са три документоване кампање. Операције сајбер криминала показују поновну употребу идентичне инфраструктуре у свим овим операцијама.
Лазарусово усвајање алата отвореног кода изазвало је забринутост због свог утицаја на процес атрибуције и убрзања циклуса експлоатације. Коришћењем алата отвореног кода, хакери успевају да минимизирају сумњу и заобиђу потребу за изградњом способности од нуле. Значајно је да су бројни алати отвореног кода, првобитно намењени за легитимне одбрамбене и офанзивне задатке, постали део злонамерног арсенала различитих група сајбер-криминалаца.
Искоришћавање рањивости у популарном пословном софтверском пакету
Пријављени инциденти обухватају искоришћавање рањивости која утиче на МанагеЕнгине СервицеДеск. Пакет који нуди МанагеЕнгине користи се у бројним предузећима, укључујући већину Фортуне 100 организација. Софтвер се користи за управљање ИТ инфраструктуром, мрежама, серверима, апликацијама, крајњим тачкама и другим функционалностима. У јануару је компанија одговорна за производ званично признала постојање рањивости, означене као ЦВЕ-2022-47966. Разне безбедносне фирме су издале упозорења у вези са активном експлоатацијом од стране злонамерних актера.
КуитеРАТ остаје скривен на компромитованим уређајима
КуитеРАТ омогућава хакерима да прикупљају информације са компромитованог уређаја. Претња је такође опремљена функцијом која јој омогућава да уђе у режим мировања на унапред дефинисано трајање, олакшавајући прикривање њеног присуства унутар угрожене мреже.
У поређењу са својим претходником, МагицРАТ-ом, који су хакери Лазарус открили у априлу 2022., КуитеРАТ се може похвалити знатно мањом величином. Мери само 4 до 5 МБ, првенствено због изостављања инхерентних могућности постојаности унутар пробијене мреже. Као резултат тога, хакери морају накнадно да уведу посебну функцију постојаности.
Сличности између имплантата сугеришу да КуитеРАТ потиче из лозе МагицРАТ-а . Осим њиховог заједничког ослањања на Кт оквир, обе претње показују сличне функционалности, укључујући извршавање произвољних команди на зараженом систему.
У вези са својим КуитеРАТ малвером, истраживачи су приметили да Лазарус Гроуп користи још једну раније непознату претњу под називом „ЦоллецтионРАТ“. Овај злонамерни софтвер показује стандардне могућности Тројанца за даљински приступ (РАТ), што му омогућава да извршава произвољне команде на компромитованим системима.
