KháRAT
Một tập thể hack khét tiếng thay mặt cho Triều Tiên đã triển khai một biến thể phần mềm độc hại mới để nhắm mục tiêu vào các tổ chức chăm sóc sức khỏe và cơ sở hạ tầng internet quan trọng trên khắp châu Âu và Hoa Kỳ. Loại phần mềm độc hại tiên tiến này, được các nhà nghiên cứu xác định là QuietRAT, có nhiều đặc điểm giống với các chủng phần mềm độc hại được quan sát trước đây được nhóm Lazarus APT sử dụng. Tuy nhiên, nó có mức độ phức tạp cao, khiến người phòng thủ gặp khó khăn hơn đáng kể trong việc phân tích và chống lại. Ngoài ra, trong giai đoạn vi phạm ban đầu trong hoạt động của mình, tin tặc cũng tận dụng các công cụ và khung nguồn mở, như kết quả nghiên cứu nêu chi tiết.
Mục lục
Lazarus vẫn là một diễn viên cực kỳ tích cực trong bối cảnh tội phạm mạng
Các nhà phân tích bảo mật đã đưa ra ánh sáng một loạt hoạt động tấn công liên quan đến nhóm hack Lazarus lâu đời, nhóm này nổi tiếng với cáo buộc trộm tiền điện tử trị giá 1,7 tỷ USD vào năm 2022. Đáng chú ý, chỉ trong vòng chưa đầy một năm, nhóm này đã được liên kết với ba chiến dịch được ghi lại. Các hoạt động tội phạm mạng thể hiện việc tái sử dụng cơ sở hạ tầng giống hệt nhau trong các hoạt động này.
Việc áp dụng các công cụ nguồn mở của Lazarus đã gây lo ngại do tác động của nó đến quá trình phân bổ và tăng tốc chu trình khai thác. Bằng cách sử dụng các công cụ nguồn mở, tin tặc có thể giảm thiểu sự nghi ngờ và tránh nhu cầu xây dựng các khả năng từ đầu. Đáng chú ý, nhiều công cụ nguồn mở, ban đầu được thiết kế cho các nhiệm vụ phòng thủ và tấn công hợp pháp, đã trở thành một phần trong kho vũ khí độc hại của nhiều nhóm tội phạm mạng khác nhau.
Khai thác lỗ hổng trong bộ phần mềm kinh doanh phổ biến
Các sự cố được báo cáo bao gồm việc khai thác lỗ hổng ảnh hưởng đến ManagedEngine ServiceDesk. Bộ phần mềm do ManagedEngine cung cấp được nhiều doanh nghiệp sử dụng, bao gồm phần lớn các tổ chức Fortune 100. Phần mềm được sử dụng để quản lý cơ sở hạ tầng CNTT, mạng, máy chủ, ứng dụng, điểm cuối và các chức năng khác. Vào tháng 1, công ty chịu trách nhiệm về sản phẩm đã chính thức thừa nhận sự tồn tại của lỗ hổng, được chỉ định là CVE-2022-47966. Nhiều công ty bảo mật khác nhau đã đưa ra cảnh báo về việc các tác nhân độc hại đang tích cực khai thác nó.
QuietRAT vẫn bị ẩn trên các thiết bị bị xâm nhập
QuietRAT trao quyền cho tin tặc thu thập thông tin từ thiết bị bị xâm nhập. Mối đe dọa này cũng được trang bị chức năng cho phép nó chuyển sang chế độ 'ngủ' trong khoảng thời gian được xác định trước, tạo điều kiện che giấu sự hiện diện của nó trong mạng bị xâm nhập.
So với tiền thân của nó, MagicRAT, được tin tặc Lazarus tiết lộ vào tháng 4 năm 2022, RatherRAT tự hào có kích thước nhỏ hơn đáng kể. Nó chỉ có dung lượng từ 4 đến 5 MB, chủ yếu là do thiếu khả năng tồn tại lâu dài vốn có trong mạng bị vi phạm. Do đó, sau đó tin tặc cần phải giới thiệu một tính năng lưu giữ riêng biệt.
Sự giống nhau giữa các bộ phận cấy ghép cho thấy QuietRAT bắt nguồn từ dòng dõi MagicRAT . Ngoài sự phụ thuộc chung vào khung Qt, cả hai mối đe dọa đều có chức năng tương tự nhau, bao gồm cả việc thực thi các lệnh tùy ý trên hệ thống bị nhiễm.
Cùng với phần mềm độc hại QuietRAT, các nhà nghiên cứu đã quan sát thấy Nhóm Lazarus sử dụng một mối đe dọa khác chưa từng được biết đến trước đây có tên là 'CollectionRAT'. Phần mềm độc hại này thể hiện các khả năng Trojan truy cập từ xa (RAT) tiêu chuẩn, cho phép nó thực thi các lệnh tùy ý trên các hệ thống bị xâm nhập.
