QuiteRAT
Сумно відома хакерська група, яка діє від імені Північної Кореї, розгорнула новий варіант зловмисного програмного забезпечення для ураження організацій охорони здоров’я та критичної інтернет-інфраструктури в Європі та Сполучених Штатах. Цей вдосконалений штам зловмисного програмного забезпечення, визначений дослідниками як QuiteRAT, має багато спільних характеристик із раніше спостережуваними штамами зловмисного програмного забезпечення, використовуваними групою Lazarus APT . Однак він має підвищений рівень складності, що робить аналіз і протидію захисникам значно складнішим. Крім того, на початковій стадії злому своїх операцій хакери також використовували інструменти та фреймворки з відкритим кодом, як зазначено в результатах дослідження.
Зміст
Lazarus залишається надзвичайно активним гравцем у кіберзлочинному середовищі
Аналітики безпеки виявили серію атак за участю добре відомої хакерської групи Lazarus, яка набула популярності через нібито крадіжку криптовалюти на суму 1,7 мільярда доларів у 2022 році. Примітно, що менш ніж за рік ця група здобула було пов’язано з трьома задокументованими кампаніями. Операції кіберзлочинців демонструють повторне використання ідентичної інфраструктури в цих операціях.
Прийняття Lazarus інструментів з відкритим кодом викликало занепокоєння через його вплив на процес атрибуції та прискорення циклу експлуатації. Використовуючи інструменти з відкритим вихідним кодом, хакерам вдається звести до мінімуму підозри та уникнути необхідності створювати можливості з нуля. Примітно, що численні інструменти з відкритим кодом, спочатку призначені для законних оборонних і наступальних завдань, стали частиною шкідливих арсеналів різних груп кіберзлочинців.
Використання вразливостей у популярному програмному забезпеченні для бізнесу
Повідомлені інциденти охоплюють використання вразливості, яка впливає на ManageEngine ServiceDesk. Пакет, запропонований ManageEngine, знаходить застосування в багатьох підприємствах, включаючи більшість організацій зі списку Fortune 100. Програмне забезпечення використовується для керування ІТ-інфраструктурою, мережами, серверами, програмами, кінцевими точками та іншими функціями. У січні компанія, відповідальна за продукт, офіційно визнала наявність уразливості, позначеної як CVE-2022-47966. Різні охоронні фірми попередили про його активне використання зловмисниками.
QuiteRAT залишається прихованим на зламаних пристроях
QuiteRAT дає хакерам можливість накопичувати інформацію зі зламаного пристрою. Загроза також оснащена функцією, яка дозволяє їй переходити в «сплячий» режим на заздалегідь визначений період часу, полегшуючи приховування своєї присутності в скомпрометованій мережі.
У порівнянні зі своїм попередником MagicRAT, представленим хакерами Lazarus у квітні 2022 року, QuiteRAT може похвалитися помітно меншим розміром. Його розмір становить лише 4-5 МБ, головним чином через відсутність властивих можливостей збереження в зламаній мережі. Як наслідок, хакерам необхідно згодом запровадити окрему функцію збереження.
Схожість між імплантатами свідчить про те, що QuiteRAT походить від MagicRAT . Окрім спільної залежності від фреймворку Qt, обидві загрози демонструють подібні функції, включаючи виконання довільних команд в зараженій системі.
У поєднанні зі своїм зловмисним програмним забезпеченням QuiteRAT дослідники помітили, що Lazarus Group використовує іншу раніше невідому загрозу під назвою «CollectionRAT». Це зловмисне програмне забезпечення демонструє стандартні можливості трояна віддаленого доступу (RAT), що дозволяє йому виконувати довільні команди на скомпрометованих системах.
