QuiteRAT ist mit dem nordkoreanischen APT Lazarus verbunden

Eine berüchtigte Hackergruppe, die mit der nordkoreanischen Regierung verbunden ist, setzt eine neue Variante bösartiger Software ein, um Gesundheitsorganisationen und kritische Internetinfrastrukturen in Europa und den USA anzugreifen.

Sicherheitsexperten von Cisco Talos haben zwei Berichte veröffentlicht, in denen eine Reihe von Vorfällen im Zusammenhang mit der langjährigen Hackergruppe Lazarus detailliert beschrieben werden. Diese Gruppe erlangte Berühmtheit durch ihre mutmaßliche Beteiligung am Diebstahl von Kryptowährungen im Wert von etwa 1,7 Milliarden US-Dollar im Jahr 2022.

Den Forschern zufolge handelt es sich um die dritte dokumentierte Kampagne im Zusammenhang mit dieser Gruppe in weniger als einem Jahr. Die Hacker haben bei diesen Vorgängen dieselbe Infrastruktur wiederverwendet. Bei den Angriffen wurde eine Schwachstelle in ManageEngine ServiceDesk ausgenutzt, die konkreten Ziele wurden jedoch nicht bekannt gegeben.

Die Suite von ManageEngine wird von zahlreichen Organisationen, darunter einem erheblichen Teil der Fortune-100-Unternehmen, häufig zur Verwaltung von IT-Systemen eingesetzt. Die Sicherheitslücke (CVE-2022-47966) wurde vom Unternehmen bereits zuvor öffentlich anerkannt und Sicherheitsfirmen warnten vor der Ausnutzung durch Hacker.

Im Februar begannen die Angreifer, diese Schwachstelle auszunutzen, um eine komplexere Art von Malware einzusetzen, die von den Forschern von Cisco Talos als QuiteRAT bezeichnet wurde. Obwohl QuiteRAT mehrere Merkmale mit anderen Lazarus-Malware-Stämmen teilt, ist es bewusst so konzipiert, dass es für Verteidiger schwieriger zu analysieren und zu erkennen ist. Die Hacker nutzten in der Anfangsphase ihrer Angriffe auch Open-Source-Tools und Frameworks.

Die Malware ermöglicht es den Hackern, Informationen von kompromittierten Geräten zu sammeln und verfügt über eine Funktion, die es ihr ermöglicht, für bestimmte Zeiträume inaktiv zu bleiben und so ihre verdeckte Präsenz im kompromittierten Netzwerk sicherzustellen.

QuiteRAT ist Nachfolger von MagicRAT

Im Gegensatz zu seinem Vorgänger MagicRAT ist QuiteRAT kleiner und wiegt nur 4 bis 5 Megabyte. Es fehlt die Fähigkeit, die Persistenz im Netzwerk eines Opfers sicherzustellen, sodass die Hacker später eine separate Persistenzfunktion einführen müssen.

Die Forscher entdeckten Ähnlichkeiten zwischen QuiteRAT und MagicRAT, was darauf hindeutet, dass Ersteres eine Ableitung von Letzterem ist. Beide verfügen über gemeinsame Fähigkeiten wie die Ausführung beliebiger Befehle auf dem kompromittierten System.

Zusätzlich zu QuiteRAT entdeckten die Forscher eine weitere Bedrohung der Lazarus-Gruppe mit dem Namen „CollectionRAT“. Diese neue Bedrohung verfügt über standardmäßige RAT-Funktionen (Remote Access Trojan), einschließlich der Fähigkeit, beliebige Befehle auf kompromittierten Systemen auszuführen. CollectionRAT war mit einer Einheit der Lazarus-Gruppe namens Andariel verbunden.

Die Hacker hinter der Lazarus Group ändern ihre Taktik und verlassen sich bei der Weiterentwicklung ihrer Methoden zunehmend auf Open-Source-Tools. Obwohl die Gruppe von zahlreichen Sicherheitsfirmen und Regierungen weltweit entdeckt wurde, verwendet sie weiterhin einen Großteil der gleichen Infrastruktur, Techniken und Verfahren und zeigt damit eine dreiste Vorgehensweise.

Cisco Talos stellte fest, dass dies die dritte beobachtete Lazarus-Kampagne im vergangenen Jahr sei, einschließlich Angriffen gegen Energieversorger in den USA, Kanada und Japan im vergangenen September.

Die Verwendung von Open-Source-Tools ist für mehrere Cybersicherheitsexperten besorgniserregend, da sie die Zuordnung erschwert und den Ausnutzungsprozess beschleunigt. Callie Guenther, leitende Managerin für Cyberbedrohungsforschung bei Critical Start, erwähnte, dass der Einsatz von Open-Source-Tools es Hackern ermöglicht, weniger Aufmerksamkeit zu erregen und die Notwendigkeit zu vermeiden, Fähigkeiten von Grund auf neu zu entwickeln.