Το QuiteRAT συνδέεται με το βορειοκορεατικό APT Lazarus

Μια διαβόητη ομάδα hacking που συνδέεται με την κυβέρνηση της Βόρειας Κορέας χρησιμοποιεί μια νέα παραλλαγή κακόβουλου λογισμικού για να στοχεύσει οργανισμούς υγειονομικής περίθαλψης και κρίσιμες υποδομές Διαδικτύου στην Ευρώπη και τις ΗΠΑ.

Εμπειρογνώμονες ασφαλείας από τη Cisco Talos δημοσίευσαν δύο αναφορές που περιγράφουν λεπτομερώς μια σειρά περιστατικών που σχετίζονται με τη μακροχρόνια ομάδα hacking Lazarus. Αυτή η ομάδα κέρδισε τη φήμη για την υποτιθέμενη συμμετοχή της στην κλοπή περίπου 1,7 δισεκατομμυρίων δολαρίων σε κρυπτονομίσματα το 2022.

Σύμφωνα με τους ερευνητές, αυτή σηματοδοτεί την τρίτη τεκμηριωμένη εκστρατεία που συνδέεται με αυτήν την ομάδα σε λιγότερο από ένα χρόνο. Οι χάκερ επαναχρησιμοποίησαν την ίδια υποδομή σε αυτές τις λειτουργίες. Οι επιθέσεις αφορούσαν την εκμετάλλευση μιας ευπάθειας στο ManageEngine ServiceDesk, αν και οι συγκεκριμένοι στόχοι δεν έχουν αποκαλυφθεί.

Η σουίτα του ManageEngine χρησιμοποιείται ευρέως από πολλούς οργανισμούς, συμπεριλαμβανομένου ενός σημαντικού τμήματος εταιρειών του Fortune 100, για τη διαχείριση συστημάτων πληροφορικής. Η ευπάθεια (CVE-2022-47966) είχε αναγνωριστεί δημοσίως από την εταιρεία νωρίτερα και οι εταιρείες ασφαλείας προειδοποίησαν για την εκμετάλλευσή της από χάκερ.

Τον Φεβρουάριο, οι εισβολείς άρχισαν να εκμεταλλεύονται αυτήν την ευπάθεια για να αναπτύξουν έναν πιο περίπλοκο τύπο κακόβουλου λογισμικού, που ονομάστηκε QuiteRAT από τους ερευνητές της Cisco Talos. Ενώ μοιράζεται πολλά χαρακτηριστικά με άλλα στελέχη κακόβουλου λογισμικού Lazarus, το QuiteRAT έχει σχεδιαστεί εσκεμμένα ώστε να είναι πιο δύσκολο για τους υπερασπιστές να αναλύσουν και να ανιχνεύσουν. Οι χάκερ χρησιμοποίησαν επίσης εργαλεία και πλαίσια ανοιχτού κώδικα κατά τα αρχικά στάδια των επιθέσεών τους.

Το κακόβουλο λογισμικό εξουσιοδοτεί τους χάκερ να συλλέγουν πληροφορίες από παραβιασμένες συσκευές και περιλαμβάνει μια δυνατότητα που του επιτρέπει να παραμένει αδρανής για συγκεκριμένες περιόδους, διασφαλίζοντας την κρυφή παρουσία του στο παραβιασμένο δίκτυο.

Το QuiteRAT Succeeds MagicRAT

Σε αντίθεση με τον προκάτοχό του MagicRAT, το QuiteRAT είναι μικρότερο και ζυγίζει μόνο 4 έως 5 megabyte. Δεν έχει τη δυνατότητα να διασφαλίσει την επιμονή στο δίκτυο ενός θύματος, κάτι που απαιτεί από τους χάκερ να εισαγάγουν μια ξεχωριστή δυνατότητα επιμονής αργότερα.

Οι ερευνητές ανακάλυψαν ομοιότητες μεταξύ QuiteRAT και MagicRAT, υποδεικνύοντας ότι το πρώτο είναι παράγωγο του δεύτερου. Και οι δύο μοιράζονται ικανότητες όπως η εκτέλεση αυθαίρετων εντολών στο παραβιασμένο σύστημα.

Εκτός από το QuiteRAT, οι ερευνητές αποκάλυψαν μια άλλη απειλή της Ομάδας Lazarus που ονομάζεται «CollectionRAT». Αυτή η νέα απειλή διαθέτει τυπικά χαρακτηριστικά απομακρυσμένης πρόσβασης trojan (RAT), συμπεριλαμβανομένης της ικανότητας εκτέλεσης αυθαίρετων εντολών σε παραβιασμένα συστήματα. Το CollectionRAT συνδέθηκε με μια μονάδα του Ομίλου Lazarus που ονομάζεται Andariel.

Οι χάκερ πίσω από το Lazarus Group αλλάζουν τις τακτικές τους, βασιζόμενοι όλο και περισσότερο σε εργαλεία ανοιχτού κώδικα καθώς εξελίσσουν τις μεθόδους τους. Παρά τον εντοπισμό του από πολλές εταιρείες ασφαλείας και κυβερνήσεις παγκοσμίως, ο όμιλος συνεχίζει να επαναχρησιμοποιεί πολλές από τις ίδιες υποδομές, τεχνικές και διαδικασίες, επιδεικνύοντας μια θρασύδειλη προσέγγιση.

Η Cisco Talos σημείωσε ότι αυτή είναι η τρίτη εκστρατεία Lazarus που παρακολουθήθηκε τον περασμένο χρόνο, συμπεριλαμβανομένων επιθέσεων κατά παρόχων ενέργειας στις ΗΠΑ, τον Καναδά και την Ιαπωνία τον προηγούμενο Σεπτέμβριο.

Η χρήση εργαλείων ανοιχτού κώδικα απασχολεί αρκετούς ειδικούς στον τομέα της κυβερνοασφάλειας, καθώς περιπλέκει την απόδοση και επιταχύνει τη διαδικασία εκμετάλλευσης. Η Callie Guenther, ανώτερη διευθύντρια έρευνας για τις απειλές στον κυβερνοχώρο στο Critical Start, ανέφερε ότι η χρήση εργαλείων ανοιχτού κώδικα επιτρέπει στους χάκερ να προσελκύουν λιγότερη προσοχή και να αποφεύγουν την ανάγκη ανάπτυξης δυνατοτήτων από την αρχή.