QuiteRAT Az észak-koreai APT Lazarushoz kapcsolódik
Az észak-koreai kormánnyal kapcsolatban álló hírhedt hackercsoport a rosszindulatú szoftverek új változatát alkalmazza egészségügyi szervezetek és kritikus internetes infrastruktúra megcélzása érdekében Európában és az Egyesült Államokban.
A Cisco Talos biztonsági szakértői két jelentést tettek közzé, amelyek a régóta fennálló Lazarus hackercsoporthoz kapcsolódó incidensek sorozatát részletezik. Ez a csoport azzal vált ismertté, hogy állítólagosan részt vett körülbelül 1,7 milliárd dollár kriptovaluta ellopásában 2022-ben.
A kutatók szerint egy éven belül ez a harmadik dokumentált kampány, amely ehhez a csoporthoz kapcsolódik. A hackerek ugyanazt az infrastruktúrát használták újra ezekben a műveletekben. A támadások a ManageEngine ServiceDesk biztonsági résének kihasználását tartalmazták, bár a konkrét célpontokat nem hozták nyilvánosságra.
A ManageEngine programcsomagját számos szervezet, köztük a Fortune 100-as cégek jelentős része széles körben használja IT-rendszerek kezelésére. A sérülékenységet (CVE-2022-47966) a cég korábban nyilvánosan elismerte, és a biztonsági cégek figyelmeztettek a hackerek általi kihasználásra.
Februárban a támadók elkezdték kihasználni ezt a sérülékenységet egy bonyolultabb típusú rosszindulatú program telepítésére, amelyet a Cisco Talos kutatói QuiteRAT-nak neveztek el. Noha a QuiteRAT számos jellemzőt megoszt más Lazarus kártevőtörzsekkel, azt szándékosan úgy tervezték, hogy a védelmezők számára nehezebb legyen elemezni és észlelni. A hackerek nyílt forráskódú eszközöket és keretrendszereket is alkalmaztak támadásaik kezdeti szakaszában.
A rosszindulatú program felhatalmazza a hackereket arra, hogy információkat gyűjtsenek a feltört eszközökről, és tartalmaz egy olyan funkciót, amely lehetővé teszi, hogy meghatározott ideig nyugalmi állapotban maradjanak, biztosítva a titkos jelenlétét a feltört hálózaton.
A QuiteRAT sikeres a MagicRAT-nak
Elődjétől, a MagicRAT-től eltérően a QuiteRAT kisebb, mindössze 4-5 megabájtot nyom. Hiányzik belőle az áldozat hálózatában való állandóság biztosítására szolgáló képesség, ezért a hackereknek később külön perzisztencia képességet kell bevezetniük.
A kutatók hasonlóságokat fedeztek fel a QuiteRAT és a MagicRAT között, ami azt jelzi, hogy az előbbi az utóbbi származéka. Mindkettő közös képességekkel rendelkezik, például tetszőleges parancsok végrehajtása a feltört rendszeren.
A QuiteRAT mellett a kutatók egy másik Lazarus Group fenyegetést is feltártak, a CollectionRAT néven. Ez az új fenyegetés szabványos távoli hozzáférésű trójai (RAT) funkciókkal rendelkezik, beleértve azt a képességet, hogy tetszőleges parancsokat hajtson végre a feltört rendszereken. A CollectionRAT a Lazarus Group Andariel nevű egységéhez kapcsolódott.
A Lazarus Group mögött álló hackerek megváltoztatják taktikájukat, és módszereik fejlesztése során egyre inkább a nyílt forráskódú eszközökre hagyatkoznak. Annak ellenére, hogy világszerte számos biztonsági cég és kormány észlelte, a csoport továbbra is ugyanazt az infrastruktúrát, technikákat és eljárásokat használja újra, szemtelen megközelítést tanúsítva.
A Cisco Talos megjegyezte, hogy ez a harmadik megfigyelt Lazarus-kampány az elmúlt évben, beleértve az előző szeptemberi amerikai, kanadai és japán energiaszolgáltatók elleni támadásokat.
A nyílt forráskódú eszközök használata több kiberbiztonsági szakértőt is aggaszt, mivel bonyolítja a hozzárendelést és felgyorsítja a kiaknázási folyamatot. Callie Guenther, a Critical Start kiberfenyegetés-kutatásért felelős vezető menedzsere megemlítette, hogy a nyílt forráskódú eszközök használata lehetővé teszi a hackerek számára, hogy kevesebb figyelmet vonzanak magukra, és elkerüljék a képességek alapról történő fejlesztését.