Ganska RAT
Ett ökänt hackarkollektiv som agerar på uppdrag av Nordkorea har distribuerat en ny variant av skadlig programvara för att rikta in sig på sjukvårdsorganisationer och kritisk internetinfrastruktur över hela Europa och USA. Denna avancerade stam av skadlig programvara, identifierad av forskare som QuiteRAT, delar många egenskaper med tidigare observerade skadliga stammar som används av Lazarus APT- gruppen. Det har dock en förhöjd nivå av komplexitet, vilket gör det betydligt mer utmanande för försvarare att analysera och motverka. Dessutom utnyttjade hackarna också verktyg och ramverk med öppen källkod under det inledande skedet av intrång i sin verksamhet, enligt forskningsresultaten.
Innehållsförteckning
Lazarus är fortfarande en extremt aktiv skådespelare i det cyberkriminella landskapet
Säkerhetsanalytiker har avslöjat en rad attackoperationer som involverar den väletablerade hackergruppen Lazarus, som blev känd för sin påstådda stöld av kryptovaluta till ett värde av 1,7 miljarder dollar 2022. Anmärkningsvärt nog har denna grupp inom ett intervall på mindre än ett år kopplats till tre dokumenterade kampanjer. Den cyberkriminella verksamheten uppvisar återanvändning av identisk infrastruktur i dessa verksamheter.
Lazarus antagande av verktyg med öppen källkod har väckt oro på grund av dess inverkan på tillskrivningsprocessen och accelerationen av exploateringscykeln. Genom att använda verktyg med öppen källkod lyckas hackarna minimera misstankar och kringgå behovet av att bygga kapacitet från grunden. Anmärkningsvärt är att många verktyg med öppen källkod, ursprungligen avsedda för legitima defensiva och offensiva uppgifter, har blivit en del av de skadliga arsenalerna hos olika cyberkriminella grupper.
Utnyttja sårbarheter i Popular Business Software Suite
De rapporterade incidenterna omfattar utnyttjande av en sårbarhet som påverkar ManageEngine ServiceDesk. Sviten som erbjuds av ManageEngine kan användas i många företag, inklusive majoriteten av Fortune 100-organisationer. Programvaran används för att hantera IT-infrastruktur, nätverk, servrar, applikationer, slutpunkter och andra funktioner. I januari erkände företaget som ansvarade för produkten officiellt förekomsten av sårbarheten, betecknad som CVE-2022-47966. Olika säkerhetsföretag har utfärdat varningar om att det aktivt utnyttjas av illvilliga aktörer.
QuiteRAT förblir dold på komprometterade enheter
QuiteRAT ger hackarna möjlighet att samla information från den komprometterade enheten. Hotet är också utrustat med en funktion som gör det möjligt för det att gå in i ett "sleep"-läge under fördefinierade tidsperioder, vilket underlättar döljandet av dess närvaro i ett komprometterat nätverk.
Jämfört med dess föregångare, MagicRAT, som avslöjades av Lazarus-hackarna i april 2022, har QuiteRAT en betydligt mindre storlek. Den mäter bara 4 till 5 MB, främst på grund av utelämnandet av inneboende persistensförmåga inom det brutna nätverket. Som ett resultat måste hackarna införa en separat persistensfunktion i efterhand.
Likheter mellan implantaten tyder på att QuiteRAT härrör från släktet MagicRAT . Utöver deras delade tillit till Qt-ramverket, uppvisar båda hoten liknande funktioner, inklusive exekvering av godtyckliga kommandon på det infekterade systemet.
I samband med deras QuiteRAT skadlig kod, har forskare observerat att Lazarus Group använder ett annat tidigare okänt hot kallat 'CollectionRAT'. Denna skadliga programvara uppvisar standardfunktioner för Remote Access Trojan (RAT), vilket gör att den kan utföra godtyckliga kommandon på de komprometterade systemen.
