QuiteRAT lié à l'APT Lazarus nord-coréen

Un groupe de piratage informatique affilié au gouvernement nord-coréen utilise une nouvelle variante de logiciel malveillant pour cibler les établissements de santé et les infrastructures Internet critiques en Europe et aux États-Unis.

Les experts en sécurité de Cisco Talos ont publié deux rapports détaillant une série d'incidents associés au groupe de piratage de longue date Lazarus. Ce groupe a gagné en notoriété pour son implication présumée dans le vol d’environ 1,7 milliard de dollars de crypto-monnaie en 2022.

Selon les chercheurs, il s'agit de la troisième campagne documentée liée à ce groupe en moins d'un an. Les pirates ont réutilisé la même infrastructure pour ces opérations. Les attaques impliquaient l'exploitation d'une vulnérabilité dans ManageEngine ServiceDesk, bien que les cibles spécifiques n'aient pas été divulguées.

La suite ManageEngine est largement utilisée par de nombreuses organisations, dont une partie importante des sociétés Fortune 100, pour la gestion des systèmes informatiques. La vulnérabilité (CVE-2022-47966) a été publiquement reconnue par l'entreprise plus tôt, et les sociétés de sécurité ont mis en garde contre son exploitation par des pirates.

En février, les attaquants ont commencé à profiter de cette vulnérabilité pour déployer un type de malware plus complexe, appelé QuiteRAT par les chercheurs de Cisco Talos. Tout en partageant plusieurs caractéristiques avec d'autres souches de logiciels malveillants Lazarus, QuiteRAT est délibérément conçu pour être plus difficile à analyser et à détecter pour les défenseurs. Les pirates ont également utilisé des outils et des frameworks open source lors des premières étapes de leurs attaques.

Le malware permet aux pirates informatiques de collecter des informations sur les appareils compromis et inclut une fonctionnalité lui permettant de rester inactif pendant des périodes spécifiées, garantissant ainsi sa présence secrète sur le réseau compromis.

QuiteRAT réussit MagicRAT

Contrairement à son prédécesseur MagicRAT, QuiteRAT est plus petit et ne pèse que 4 à 5 mégaoctets. Il n'a pas la capacité d'assurer la persistance sur le réseau d'une victime, ce qui oblige les pirates à introduire ultérieurement une capacité de persistance distincte.

Les chercheurs ont découvert des similitudes entre QuiteRAT et MagicRAT, indiquant que le premier est un dérivé du second. Les deux partagent des capacités telles que l’exécution de commandes arbitraires sur le système compromis.

En plus de QuiteRAT, les chercheurs ont découvert une autre menace du groupe Lazarus nommée « CollectionRAT ». Cette nouvelle menace possède des fonctionnalités standard de cheval de Troie d'accès à distance (RAT), notamment la capacité d'exécuter des commandes arbitraires sur des systèmes compromis. CollectionRAT était liée à une unité du groupe Lazarus appelée Andariel.

Les hackers derrière Lazarus Group changent de tactique, s'appuyant de plus en plus sur des outils open source à mesure qu'ils font évoluer leurs méthodes. Bien qu’il ait été détecté par de nombreuses sociétés de sécurité et gouvernements dans le monde entier, le groupe continue de réutiliser une grande partie des mêmes infrastructures, techniques et procédures, faisant preuve d’une approche effrontée.

Cisco Talos a noté qu'il s'agit de la troisième campagne Lazarus surveillée au cours de l'année écoulée, y compris les attaques contre les fournisseurs d'énergie aux États-Unis, au Canada et au Japon en septembre dernier.

L'utilisation d'outils open source préoccupe plusieurs experts en cybersécurité, car elle complique l'attribution et accélère le processus d'exploitation. Callie Guenther, responsable principale de la recherche sur les cybermenaces chez Critical Start, a mentionné que l'utilisation d'outils open source permet aux pirates d'attirer moins l'attention et d'éviter d'avoir à développer des capacités à partir de zéro.