QuitRAT が北朝鮮の APT Lazarus にリンク

北朝鮮政府と提携している悪名高いハッカーグループが、悪意のあるソフトウェアの新たな亜種を使用して、ヨーロッパと米国の医療機関や重要なインターネットインフラを標的にしています。

Cisco Talos のセキュリティ専門家は、長年存在する Lazarus ハッキング グループに関連する一連のインシデントを詳述する 2 つのレポートをリリースしました。このグループは、2022 年に約 17 億ドルの暗号通貨を盗んだ疑いで悪名を高めました。

研究者らによると、これはこの1年以内でこのグループに関連する文書化されたキャンペーンの3件目となる。ハッカーはこれらの作戦全体で同じインフラストラクチャを再利用しています。この攻撃には、ManageEngine ServiceDesk の脆弱性の悪用が含まれていましたが、具体的な標的は明らかにされていません。

ManageEngine のスイートは、フォーチュン 100 企業の大部分を含む多数の組織で IT システムの管理に広く使用されています。この脆弱性（CVE-2022-47966）は同社が以前に公的に認めており、セキュリティ会社はハッカーによる脆弱性の悪用について警告していた。

2 月、攻撃者はこの脆弱性を利用して、Cisco Talos の研究者によって QuiteRAT とラベル付けされた、より複雑なタイプのマルウェアの展開を開始しました。 QuiteRAT は他の Lazarus マルウェア株といくつかの特徴を共有していますが、防御側による分析と検出がより困難になるように意図的に設計されています。ハッカーは、攻撃の初期段階でもオープンソースのツールとフレームワークを使用しました。

このマルウェアは、ハッカーが侵害されたデバイスから情報を収集できるようにするもので、マルウェアを指定期間休止状態にして、侵害されたネットワーク上で秘密裏に存在することを保証する機能を備えています。

QuiteRAT が MagicRAT の後継となる

以前の MagicRAT とは異なり、QuiteRAT は小型で、重さはわずか 4 ～ 5 メガバイトです。被害者のネットワーク上で永続性を確保する機能が欠けているため、ハッカーは後で別の永続性機能を導入する必要があります。

研究者らは QuiteRAT と MagicRAT の間に類似点を発見し、前者が後者の派生であることを示しています。どちらも、侵害されたシステム上で任意のコマンドを実行するなどの機能を共有しています。

QuiteRAT に加えて、研究者らは「CollectionRAT」という名前の別の Lazarus Group の脅威を発見しました。この新しい脅威は、侵害されたシステム上で任意のコマンドを実行する機能など、標準的なリモート アクセス トロイの木馬 (RAT) 機能を備えています。 CollectionRAT は、Andariel と呼ばれる Lazarus Group ユニットにリンクされていました。

Lazarus Group の背後にあるハッカーは戦術を変えており、手法を進化させるにつれてオープンソース ツールへの依存を強めています。世界中の多数のセキュリティ会社や政府によって発見されているにもかかわらず、このグループは同じインフラストラクチャ、技術、手順の多くを再利用し続けており、厚かましいアプローチを示しています。

Cisco Talos は、これが、前年 9 月の米国、カナダ、日本のエネルギープロバイダーに対する攻撃を含め、過去 1 年間に監視された 3 回目の Lazarus キャンペーンであると指摘しました。

オープンソース ツールの利用は、帰属を複雑にし、悪用プロセスを加速させるため、何人かのサイバーセキュリティ専門家にとって懸念されています。クリティカル スタート社のサイバー脅威研究担当シニア マネージャーであるキャリー ギュンサー氏は、オープンソース ツールを使用することでハッカーの注目を集めにくくなり、機能をゼロから開発する必要がなくなると述べました。