QuiteRAT Collegato all'APT Lazarus nordcoreano
Un famigerato gruppo di hacker affiliato al governo nordcoreano sta impiegando una nuova variante di software dannoso per colpire le organizzazioni sanitarie e le infrastrutture Internet critiche in Europa e negli Stati Uniti.
Gli esperti di sicurezza di Cisco Talos hanno pubblicato due rapporti che descrivono in dettaglio una serie di incidenti associati al gruppo di hacker di lunga data Lazarus. Questo gruppo ha guadagnato notorietà per il suo presunto coinvolgimento nel furto di circa 1,7 miliardi di dollari in criptovaluta nel 2022.
Secondo i ricercatori, si tratta della terza campagna documentata collegata a questo gruppo in meno di un anno. Gli hacker hanno riutilizzato la stessa infrastruttura durante queste operazioni. Gli attacchi prevedevano lo sfruttamento di una vulnerabilità in ManageEngine ServiceDesk, sebbene gli obiettivi specifici non siano stati resi noti.
La suite di ManageEngine è ampiamente utilizzata da numerose organizzazioni, tra cui una parte significativa delle aziende Fortune 100, per la gestione dei sistemi IT. La vulnerabilità (CVE-2022-47966) era stata riconosciuta pubblicamente dall'azienda in precedenza e le società di sicurezza avevano messo in guardia dal suo sfruttamento da parte degli hacker.
A febbraio, gli aggressori hanno iniziato a sfruttare questa vulnerabilità per distribuire un tipo di malware più complesso, etichettato come QuiteRAT dai ricercatori di Cisco Talos. Pur condividendo diverse caratteristiche con altri ceppi di malware Lazarus, QuiteRAT è deliberatamente progettato per essere più difficile da analizzare e rilevare da parte dei difensori. Gli hacker hanno utilizzato anche strumenti e framework open source durante le fasi iniziali dei loro attacchi.
Il malware consente agli hacker di raccogliere informazioni dai dispositivi compromessi e include una funzionalità che gli consente di rimanere inattivo per periodi specifici, garantendo la sua presenza segreta sulla rete compromessa.
QuiteRAT succede a MagicRAT
A differenza del suo predecessore MagicRAT, QuiteRAT è più piccolo e pesa solo da 4 a 5 megabyte. Non ha la capacità di garantire la persistenza sulla rete di una vittima, rendendo necessario che gli hacker introducano successivamente una capacità di persistenza separata.
I ricercatori hanno scoperto somiglianze tra QuiteRAT e MagicRAT, indicando che il primo è un derivato del secondo. Entrambi condividono capacità come l'esecuzione di comandi arbitrari sul sistema compromesso.
Oltre a QuiteRAT, i ricercatori hanno scoperto un'altra minaccia del gruppo Lazarus denominata "CollectionRAT". Questa nuova minaccia possiede funzionalità standard di trojan di accesso remoto (RAT), inclusa la capacità di eseguire comandi arbitrari su sistemi compromessi. CollectionRAT era collegata a un'unità del Gruppo Lazarus chiamata Andariel.
Gli hacker dietro Lazarus Group stanno cambiando le loro tattiche, affidandosi sempre più a strumenti open source mentre evolvono i loro metodi. Nonostante sia stato individuato da numerose società di sicurezza e governi in tutto il mondo, il gruppo continua a riutilizzare gran parte delle stesse infrastrutture, tecniche e procedure, mostrando un approccio sfrontato.
Cisco Talos ha osservato che questa costituisce la terza campagna Lazarus monitorata nell'ultimo anno, compresi gli attacchi contro i fornitori di energia negli Stati Uniti, Canada e Giappone nel settembre precedente.
L'utilizzo di strumenti open source preoccupa diversi esperti di sicurezza informatica, poiché complica l'attribuzione e accelera il processo di sfruttamento. Callie Guenther, senior manager della ricerca sulle minacce informatiche presso Critical Start, ha affermato che l'utilizzo di strumenti open source consente agli hacker di attirare meno attenzione ed evitare la necessità di sviluppare capacità da zero.
