QuiteRAT Az észak-koreai APT Lazarushoz kapcsolódik

Az észak-koreai kormánnyal kapcsolatban álló hírhedt hackercsoport a rosszindulatú szoftverek új változatát alkalmazza egészségügyi szervezetek és kritikus internetes infrastruktúra megcélzása érdekében Európában és az Egyesült Államokban.

A Cisco Talos biztonsági szakértői két jelentést tettek közzé, amelyek a régóta fennálló Lazarus hackercsoporthoz kapcsolódó incidensek sorozatát részletezik. Ez a csoport azzal vált ismertté, hogy állítólagosan részt vett körülbelül 1,7 milliárd dollár kriptovaluta ellopásában 2022-ben.

A kutatók szerint egy éven belül ez a harmadik dokumentált kampány, amely ehhez a csoporthoz kapcsolódik. A hackerek ugyanazt az infrastruktúrát használták újra ezekben a műveletekben. A támadások a ManageEngine ServiceDesk biztonsági résének kihasználását tartalmazták, bár a konkrét célpontokat nem hozták nyilvánosságra.

A ManageEngine programcsomagját számos szervezet, köztük a Fortune 100-as cégek jelentős része széles körben használja IT-rendszerek kezelésére. A sérülékenységet (CVE-2022-47966) a cég korábban nyilvánosan elismerte, és a biztonsági cégek figyelmeztettek a hackerek általi kihasználásra.

Februárban a támadók elkezdték kihasználni ezt a sérülékenységet egy bonyolultabb típusú rosszindulatú program telepítésére, amelyet a Cisco Talos kutatói QuiteRAT-nak neveztek el. Noha a QuiteRAT számos jellemzőt megoszt más Lazarus kártevőtörzsekkel, azt szándékosan úgy tervezték, hogy a védelmezők számára nehezebb legyen elemezni és észlelni. A hackerek nyílt forráskódú eszközöket és keretrendszereket is alkalmaztak támadásaik kezdeti szakaszában.

A rosszindulatú program felhatalmazza a hackereket arra, hogy információkat gyűjtsenek a feltört eszközökről, és tartalmaz egy olyan funkciót, amely lehetővé teszi, hogy meghatározott ideig nyugalmi állapotban maradjanak, biztosítva a titkos jelenlétét a feltört hálózaton.

A QuiteRAT sikeres a MagicRAT-nak

Elődjétől, a MagicRAT-től eltérően a QuiteRAT kisebb, mindössze 4-5 megabájtot nyom. Hiányzik belőle az áldozat hálózatában való állandóság biztosítására szolgáló képesség, ezért a hackereknek később külön perzisztencia képességet kell bevezetniük.

A kutatók hasonlóságokat fedeztek fel a QuiteRAT és a MagicRAT között, ami azt jelzi, hogy az előbbi az utóbbi származéka. Mindkettő közös képességekkel rendelkezik, például tetszőleges parancsok végrehajtása a feltört rendszeren.

A QuiteRAT mellett a kutatók egy másik Lazarus Group fenyegetést is feltártak, a CollectionRAT néven. Ez az új fenyegetés szabványos távoli hozzáférésű trójai (RAT) funkciókkal rendelkezik, beleértve azt a képességet, hogy tetszőleges parancsokat hajtson végre a feltört rendszereken. A CollectionRAT a Lazarus Group Andariel nevű egységéhez kapcsolódott.

A Lazarus Group mögött álló hackerek megváltoztatják taktikájukat, és módszereik fejlesztése során egyre inkább a nyílt forráskódú eszközökre hagyatkoznak. Annak ellenére, hogy világszerte számos biztonsági cég és kormány észlelte, a csoport továbbra is ugyanazt az infrastruktúrát, technikákat és eljárásokat használja újra, szemtelen megközelítést tanúsítva.

A Cisco Talos megjegyezte, hogy ez a harmadik megfigyelt Lazarus-kampány az elmúlt évben, beleértve az előző szeptemberi amerikai, kanadai és japán energiaszolgáltatók elleni támadásokat.

A nyílt forráskódú eszközök használata több kiberbiztonsági szakértőt is aggaszt, mivel bonyolítja a hozzárendelést és felgyorsítja a kiaknázási folyamatot. Callie Guenther, a Critical Start kiberfenyegetés-kutatásért felelős vezető menedzsere megemlítette, hogy a nyílt forráskódú eszközök használata lehetővé teszi a hackerek számára, hogy kevesebb figyelmet vonzanak magukra, és elkerüljék a képességek alapról történő fejlesztését.