相当RAT

一个代表朝鲜的臭名昭著的黑客组织部署了一种新型恶意软件变体，以欧洲和美国的医疗机构和关键互联网基础设施为目标。这种高级恶意软件菌株被研究人员识别为 QuiteRAT，与Lazarus APT组织之前观察到的恶意软件菌株具有许多相同的特征。然而，它的复杂性很高，使得防御者分析和应对变得更具挑战性。此外，正如研究结果所详述，在其行动的最初违规阶段，黑客还利用了开源工具和框架。

Lazarus 仍然是网络犯罪领域极其活跃的参与者

安全分析师揭露了一系列涉及老牌 Lazarus 黑客组织的攻击行动，该组织因涉嫌在 2022 年盗窃价值 17 亿美元的加密货币而声名狼藉。值得注意的是，在不到一年的时间里，该组织已经与三个有记录的活动有关。网络犯罪活动展示了在这些活动中重复使用相同的基础设施。

Lazarus 采用开源工具因其对归因过程的影响和利用周期的加速而引起了担忧。通过使用开源工具，黑客设法最大程度地减少怀疑并避免从头开始构建功能的需要。值得注意的是，许多最初用于合法防御和进攻任务的开源工具已成为各种网络犯罪团体恶意武器库的一部分。

利用流行商业软件套件中的漏洞

报告的事件涉及影响 ManageEngine ServiceDesk 的漏洞的利用。 ManageEngine 提供的套件已被众多企业所采用，其中包括大多数财富 100 强组织。该软件用于管理 IT 基础设施、网络、服务器、应用程序、端点和其他功能。一月份，负责该产品的公司正式承认该漏洞的存在，编号为 CVE-2022-47966。多家安全公司已就恶意行为者的主动利用发出警报。

QuiteRAT 隐藏在受感染的设备上

QuiteRAT 使黑客能够从受感染的设备中收集信息。该威胁还配备了一项功能，使其能够在预先定义的时间内进入“睡眠”模式，从而有助于在受感染的网络中隐藏其存在。

与 Lazarus 黑客于 2022 年 4 月推出的前身 MagicRAT 相比，QuiteRAT 的尺寸明显更小。它的大小仅为 4 到 5 MB，主要是由于被破坏网络中固有的持久性功能被忽略。因此，黑客随后需要引入单独的持久性功能。

植入物之间的相似性表明 QuiteRAT 源于MagicRAT的血统。除了对 Qt 框架的共同依赖之外，这两种威胁还表现出相似的功能，包括在受感染的系统上执行任意命令。

结合 QuiteRAT 恶意软件，研究人员观察到 Lazarus 组织使用了另一种先前未知的威胁，称为“CollectionRAT”。该恶意软件具有标准的远程访问木马 (RAT) 功能，使其能够在受感染的系统上执行任意命令。