QuiteRAT knyttet til nordkoreanske APT Lazarus

En berygtet hackergruppe tilknyttet den nordkoreanske regering anvender en ny variant af ondsindet software til at målrette sundhedsorganisationer og kritisk internetinfrastruktur i Europa og USA.

Sikkerhedseksperter fra Cisco Talos har udgivet to rapporter, der beskriver en række hændelser forbundet med den mangeårige Lazarus hackergruppe. Denne gruppe blev kendt for sin påståede involvering i at stjæle omkring 1,7 milliarder dollars i kryptovaluta i løbet af 2022.

Ifølge forskerne er dette den tredje dokumenterede kampagne, der er knyttet til denne gruppe på under et år. Hackerne har genbrugt den samme infrastruktur på tværs af disse operationer. Angrebene involverede udnyttelse af en sårbarhed i ManageEngine ServiceDesk, selvom de specifikke mål ikke er blevet afsløret.

ManageEngines suite bruges i vid udstrækning af adskillige organisationer, herunder en betydelig del af Fortune 100-virksomheder, til styring af it-systemer. Sårbarheden (CVE-2022-47966) blev offentligt anerkendt af virksomheden tidligere, og sikkerhedsfirmaer advarede om dens udnyttelse af hackere.

I februar begyndte angriberne at udnytte denne sårbarhed til at implementere en mere indviklet type malware, mærket som QuiteRAT af forskerne hos Cisco Talos. Mens QuiteRAT deler flere karakteristika med andre Lazarus malware-stammer, er QuiteRAT bevidst designet til at være sværere for forsvarere at analysere og opdage. Hackerne brugte også open source værktøjer og rammer i de indledende faser af deres angreb.

Malwaren giver hackerne mulighed for at indsamle oplysninger fra kompromitterede enheder og inkluderer en funktion, der gør det muligt at ligge i dvale i bestemte perioder, hvilket sikrer dens skjulte tilstedeværelse på det kompromitterede netværk.

QuiteRAT efterfølger MagicRAT

I modsætning til sin forgænger MagicRAT er QuiteRAT mindre og vejer kun 4 til 5 megabyte. Den mangler evnen til at sikre vedholdenhed på et offers netværk, hvilket gør det nødvendigt for hackerne at indføre en separat persistenskapacitet senere.

Forskerne opdagede ligheder mellem QuiteRAT og MagicRAT, hvilket indikerer, at førstnævnte er et derivat af sidstnævnte. Begge deler evner såsom at udføre vilkårlige kommandoer på det kompromitterede system.

Ud over QuiteRAT afslørede forskerne en anden Lazarus Group-trussel ved navn 'CollectionRAT'. Denne nye trussel besidder standardfunktioner for fjernadgang trojaner (RAT), herunder kapaciteten til at udføre vilkårlige kommandoer på kompromitterede systemer. CollectionRAT var knyttet til en Lazarus Group-enhed kaldet Andariel.

Hackerne bag Lazarus Group ændrer deres taktik og stoler i stigende grad på open source-værktøjer, efterhånden som de udvikler deres metoder. På trods af at blive opdaget af adskillige sikkerhedsfirmaer og regeringer verden over, fortsætter gruppen med at genbruge meget af den samme infrastruktur, teknikker og procedurer, og udviser en fræk tilgang.

Cisco Talos bemærkede, at dette udgør den tredje Lazarus-kampagne, der blev overvåget i det forløbne år, inklusive angreb mod energiudbydere i USA, Canada og Japan i den foregående september.

Brugen af open source-værktøjer er bekymrende for flere cybersikkerhedseksperter, da det komplicerer tilskrivning og accelererer udnyttelsesprocessen. Callie Guenther, en senior manager for cybertrusler hos Critical Start, nævnte, at brug af open source-værktøjer gør det muligt for hackere at tiltrække mindre opmærksomhed og undgå behovet for at udvikle kapaciteter fra bunden.