QuiteRAT vinculado a la APT Lazarus norcoreana

Un infame grupo de hackers afiliado al gobierno de Corea del Norte está empleando una nueva variante de software malicioso para atacar a organizaciones de atención médica e infraestructuras críticas de Internet en Europa y Estados Unidos.

Los expertos en seguridad de Cisco Talos han publicado dos informes que detallan una serie de incidentes asociados con el antiguo grupo de piratería Lazarus. Este grupo ganó notoriedad por su presunta participación en el robo de aproximadamente 1.700 millones de dólares en criptomonedas durante 2022.

Según los investigadores, se trata de la tercera campaña documentada vinculada a este grupo en menos de un año. Los piratas informáticos han estado reutilizando la misma infraestructura en estas operaciones. Los ataques implicaron explotar una vulnerabilidad en ManageEngine ServiceDesk, aunque los objetivos específicos no han sido revelados.

La suite de ManageEngine es ampliamente utilizada por numerosas organizaciones, incluida una parte importante de las empresas Fortune 100, para gestionar sistemas de TI. La vulnerabilidad (CVE-2022-47966) fue reconocida públicamente por la empresa anteriormente y las empresas de seguridad advirtieron sobre su explotación por parte de piratas informáticos.

En febrero, los atacantes comenzaron a aprovechar esta vulnerabilidad para implementar un tipo de malware más complejo, denominado QuiteRAT por los investigadores de Cisco Talos. Si bien comparte varias características con otras cepas de malware de Lazarus, QuiteRAT está diseñado deliberadamente para que sea más difícil de analizar y detectar para los defensores. Los piratas informáticos también emplearon herramientas y marcos de código abierto durante las etapas iniciales de sus ataques.

El malware permite a los piratas informáticos recopilar información de los dispositivos comprometidos e incluye una función que le permite permanecer inactivo durante períodos específicos, lo que garantiza su presencia encubierta en la red comprometida.

QuiteRAT sucede a MagicRAT

A diferencia de su predecesor MagicRAT, QuiteRAT es más pequeño y pesa sólo de 4 a 5 megabytes. Carece de la capacidad de garantizar la persistencia en la red de la víctima, lo que obliga a los piratas informáticos a introducir una capacidad de persistencia separada más adelante.

Los investigadores descubrieron similitudes entre QuiteRAT y MagicRAT, lo que indica que el primero es un derivado del segundo. Ambos comparten capacidades como ejecutar comandos arbitrarios en el sistema comprometido.

Además de QuiteRAT, los investigadores descubrieron otra amenaza del Grupo Lazarus llamada 'CollectionRAT'. Esta nueva amenaza posee características estándar de troyano de acceso remoto (RAT), incluida la capacidad de ejecutar comandos arbitrarios en sistemas comprometidos. CollectionRAT estaba vinculado a una unidad del Grupo Lazarus llamada Andariel.

Los piratas informáticos detrás de Lazarus Group están cambiando sus tácticas y confiando cada vez más en herramientas de código abierto a medida que evolucionan sus métodos. A pesar de haber sido detectado por numerosas empresas de seguridad y gobiernos de todo el mundo, el grupo continúa reutilizando gran parte de la misma infraestructura, técnicas y procedimientos, mostrando un enfoque descarado.

Cisco Talos señaló que esta constituye la tercera campaña de Lazarus monitoreada en el último año, incluidos los ataques contra proveedores de energía en EE. UU., Canadá y Japón en septiembre anterior.

La utilización de herramientas de código abierto preocupa a varios expertos en ciberseguridad, ya que complica la atribución y acelera el proceso de explotación. Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start, mencionó que el uso de herramientas de código abierto permite a los piratas informáticos atraer menos atención y evitar la necesidad de desarrollar capacidades desde cero.