相當RAT

一個代表朝鮮的臭名昭著的黑客組織部署了一種新型惡意軟件變體，以歐洲和美國的醫療機構和關鍵互聯網基礎設施為目標。這種高級惡意軟件菌株被研究人員識別為 QuiteRAT，與Lazarus APT組織之前觀察到的惡意軟件菌株具有許多相同的特徵。然而，它的複雜性很高，使得防御者分析和應對變得更具挑戰性。此外，正如研究結果所詳述，在其行動的最初違規階段，黑客還利用了開源工具和框架。

Lazarus 仍然是網絡犯罪領域極其活躍的參與者

安全分析師揭露了一系列涉及老牌Lazarus 黑客組織的攻擊行動，該組織因涉嫌在2022 年盜竊價值17 億美元的加密貨幣而聲名狼藉。值得注意的是，在不到一年的時間裡，該組織已經與三個有記錄的活動有關。網絡犯罪活動展示了在這些活動中重複使用相同的基礎設施。

Lazarus 採用開源工具因其對歸因過程的影響和利用周期的加速而引起了擔憂。通過使用開源工具，黑客設法最大程度地減少懷疑並避免從頭開始構建功能的需要。值得注意的是，許多最初用於合法防禦和進攻任務的開源工具已成為各種網絡犯罪團體惡意武器庫的一部分。

利用流行商業軟件套件中的漏洞

報告的事件涉及影響 ManageEngine ServiceDesk 的漏洞的利用。 ManageEngine 提供的套件已被眾多企業所採用，其中包括大多數財富 100 強組織。該軟件用於管理 IT 基礎設施、網絡、服務器、應用程序、端點和其他功能。一月份，負責該產品的公司正式承認該漏洞的存在，編號為 CVE-2022-47966。多家安全公司已就惡意行為者的主動利用發出警報。

QuiteRAT 隱藏在受感染的設備上

QuiteRAT 使黑客能夠從受感染的設備中收集信息。該威脅還配備了一項功能，使其能夠在預先定義的時間內進入“睡眠”模式，從而有助於在受感染的網絡中隱藏其存在。

與 Lazarus 黑客於 2022 年 4 月推出的前身 MagicRAT 相比，QuiteRAT 的尺寸明顯更小。它的大小僅為 4 到 5 MB，主要是由於被破壞網絡中固有的持久性功能被忽略。因此，黑客隨後需要引入單獨的持久性功能。

植入物之間的相似性表明 QuiteRAT 源於MagicRAT的血統。除了對 Qt 框架的共同依賴之外，這兩種威脅還表現出相似的功能，包括在受感染的系統上執行任意命令。

結合 QuiteRAT 惡意軟件，研究人員觀察到 Lazarus 組織使用了另一種先前未知的威脅，稱為“CollectionRAT”。該惡意軟件具有標準的遠程訪問木馬 (RAT) 功能，使其能夠在受感染的系統上執行任意命令。