MedyoRAT
Ang isang kasumpa-sumpa na sama-samang pag-hack na kumikilos sa ngalan ng North Korea ay nag-deploy ng bagong variant ng malware upang i-target ang mga organisasyon ng pangangalagang pangkalusugan at kritikal na imprastraktura sa internet sa buong Europe at United States. Ang advanced na strain ng malware na ito, na kinilala ng mga mananaliksik bilang QuiteRAT, ay nagbabahagi ng maraming katangian sa dati nang naobserbahang mga strain ng malware na ginamit ng Lazarus APT group. Gayunpaman, nagtataglay ito ng mataas na antas ng pagiging kumplikado, na ginagawang mas mahirap para sa mga tagapagtanggol na suriin at kontrahin. Bukod pa rito, sa paunang yugto ng paglabag sa kanilang mga operasyon, ginamit din ng mga hacker ang mga open-source na tool at frameworks, gaya ng detalyado ng mga natuklasan sa pananaliksik.
Talaan ng mga Nilalaman
Si Lazarus ay Nananatiling Isang Napakaaktibong Aktor sa Cybercriminal Landscape
Ibinunyag ng mga security analyst ang isang serye ng mga operasyon sa pag-atake na kinasasangkutan ng matatag na grupo ng pag-hack ng Lazarus, na nakakuha ng katanyagan sa umano'y pagnanakaw nito ng cryptocurrency na nagkakahalaga ng $1.7 bilyon noong 2022. Kapansin-pansin, sa loob ng mas mababa sa isang taon, ang grupong ito ay may na-link sa tatlong dokumentadong kampanya. Ang mga operasyong cybercriminal ay nagpapakita ng muling paggamit ng magkatulad na imprastraktura sa mga operasyong ito.
Ang paggamit ni Lazarus ng mga open-source na tool ay nagdulot ng mga alalahanin dahil sa epekto nito sa proseso ng pagpapatungkol at ang pagbilis ng cycle ng pagsasamantala. Sa pamamagitan ng paggamit ng mga open-source na tool, pinamamahalaan ng mga hacker na bawasan ang hinala at iwasan ang pangangailangang bumuo ng mga kakayahan mula sa simula. Kapansin-pansin, maraming mga open-source na tool, na orihinal na nilayon para sa mga lehitimong depensiba at nakakasakit na gawain, ay naging bahagi ng mga nakakahamak na arsenal ng iba't ibang cybercriminal na grupo.
Pinagsasamantalahan ang Mga Kahinaan sa Popular Business Software Suite
Ang mga naiulat na insidente ay sumasaklaw sa pagsasamantala ng isang kahinaan na nakakaapekto sa ManageEngine ServiceDesk. Ang suite na inaalok ng ManageEngine ay nakakahanap ng paggamit sa maraming negosyo, kabilang ang karamihan ng Fortune 100 na organisasyon. Ginagamit ang software sa pamamahala ng imprastraktura ng IT, mga network, server, application, endpoint at iba pang functionality. Noong Enero, opisyal na kinilala ng kumpanyang responsable para sa produkto ang pagkakaroon ng kahinaan, na itinalaga bilang CVE-2022-47966. Ang iba't ibang mga kumpanya ng seguridad ay naglabas ng mga alerto tungkol sa aktibong pagsasamantala nito ng mga malisyosong aktor.
Nananatiling Nakatago ang QuiteRAT sa Mga Nakompromisong Device
Ang QuiteRAT ay nagbibigay ng kapangyarihan sa mga hacker na magtipon ng impormasyon mula sa nakompromisong device. Ang banta ay nilagyan din ng isang function na nagbibigay-daan dito na pumasok sa isang 'sleep' mode para sa mga paunang natukoy na tagal, na nagpapadali sa pagtatago ng presensya nito sa loob ng isang nakompromisong network.
Kung ikukumpara sa nangunguna nito, ang MagicRAT, na inihayag ng mga hacker ni Lazarus noong Abril 2022, ipinagmamalaki ng QuiteRAT ang mas maliit na sukat. Ito ay sumusukat lamang ng 4 hanggang 5 MB, pangunahin dahil sa pagtanggal ng mga likas na kakayahan sa pagtitiyaga sa loob ng nilabag na network. Bilang isang resulta, ang mga hacker ay kailangang magpakilala ng isang hiwalay na tampok sa pagtitiyaga pagkatapos.
Ang mga pagkakahawig sa pagitan ng mga implant ay nagmumungkahi na ang QuiteRAT ay nagmula sa angkan ng MagicRAT . Higit pa sa kanilang ibinahaging pag-asa sa balangkas ng Qt, ang parehong mga banta ay nagpapakita ng magkatulad na mga pag-andar, kabilang ang pagpapatupad ng mga arbitrary na utos sa nahawaang sistema.
Kasabay ng kanilang QuiteRAT malware, napagmasdan ng mga mananaliksik ang Lazarus Group na gumagamit ng isa pang hindi kilalang banta na tinatawag na 'CollectionRAT.' Ang malware na ito ay nagpapakita ng mga karaniwang kakayahan sa Remote Access Trojan (RAT), na nagbibigay-daan dito na magsagawa ng mga di-makatwirang utos sa mga nakompromisong system.
