QuiteRAT Susietas su Šiaurės Korėjos APT Lazarus
Liūdnai pagarsėjusi programišių grupė, susijusi su Šiaurės Korėjos vyriausybe, naudoja naują kenkėjiškos programinės įrangos variantą, skirtą sveikatos priežiūros organizacijoms ir svarbiai interneto infrastruktūrai Europoje ir JAV.
„Cisco Talos“ saugumo ekspertai paskelbė dvi ataskaitas, kuriose išsamiai aprašomi incidentai, susiję su ilgamete įsilaužimo grupe „Lazarus“. Ši grupė išgarsėjo dėl tariamo dalyvavimo pavogiant maždaug 1,7 mlrd. USD kriptovaliutos 2022 m.
Tyrėjų teigimu, tai jau trečia dokumentuota kampanija, susijusi su šia grupe per mažiau nei metus. Vykdydami šias operacijas įsilaužėliai pakartotinai naudojo tą pačią infrastruktūrą. Atakos buvo susijusios su „ManageEngine ServiceDesk“ pažeidžiamumo išnaudojimu, nors konkretūs tikslai nebuvo atskleisti.
„ManageEngine“ rinkinį IT sistemų valdymui plačiai naudoja daugybė organizacijų, įskaitant didelę dalį „Fortune 100“ įmonių. Pažeidžiamumą (CVE-2022-47966) įmonė viešai pripažino anksčiau, o saugos įmonės perspėjo apie įsilaužėlių išnaudojimą.
Vasario mėnesį užpuolikai pradėjo naudotis šiuo pažeidžiamumu, kad įdiegtų sudėtingesnę kenkėjišką programą, kurią Cisco Talos mokslininkai pavadino QuiteRAT. Nors turi keletą savybių su kitomis Lazarus kenkėjiškų programų padermėmis, QuiteRAT yra sąmoningai sukurtas taip, kad gynėjams būtų sunkiau analizuoti ir aptikti. Pradinėse atakų stadijose įsilaužėliai taip pat naudojo atvirojo kodo įrankius ir sistemas.
Kenkėjiška programa suteikia įsilaužėliams galimybę rinkti informaciją iš pažeistų įrenginių ir apima funkciją, leidžiančią tam tikrą laiką neveikti, užtikrinant jos slaptą buvimą pažeistame tinkle.
QuiteRAT pasiseka MagicRAT
Skirtingai nuo savo pirmtako MagicRAT, QuiteRAT yra mažesnis ir sveria tik 4–5 megabaitus. Jai trūksta galimybių užtikrinti patvarumą aukos tinkle, todėl įsilaužėliams vėliau reikia įdiegti atskirą išlikimo galimybę.
Tyrėjai atrado panašumų tarp QuiteRAT ir MagicRAT, nurodydami, kad pirmasis yra pastarojo darinys. Abu dalijasi gebėjimais, pvz., savavališkų komandų vykdymą pažeistoje sistemoje.
Be QuiteRAT, mokslininkai atskleidė kitą Lazarus Group grėsmę, pavadintą „CollectionRAT“. Ši nauja grėsmė turi standartines nuotolinės prieigos Trojos arklys (RAT) funkcijas, įskaitant galimybę vykdyti savavališkas komandas pažeistose sistemose. CollectionRAT buvo susietas su Lazarus Group padaliniu, pavadintu Andariel.
„Lazarus Group“ įsilaužėliai keičia savo taktiką, tobulindami savo metodus, vis labiau pasikliaudami atvirojo kodo įrankiais. Nepaisant to, kad ją aptiko daugybė saugos firmų ir vyriausybių visame pasaulyje, grupė ir toliau pakartotinai naudoja tą pačią infrastruktūrą, metodus ir procedūras, demonstruodama įžūlų požiūrį.
„Cisco Talos“ pažymėjo, kad tai yra trečioji „Lazarus“ kampanija, stebima per pastaruosius metus, įskaitant atakas prieš energijos tiekėjus JAV, Kanadoje ir Japonijoje praėjusį rugsėjį.
Atvirojo kodo įrankių naudojimas kelia nerimą keliems kibernetinio saugumo ekspertams, nes tai apsunkina priskyrimą ir pagreitina išnaudojimo procesą. Callie Guenther, vyresnioji „Critical Start“ kibernetinių grėsmių tyrimų vadovė, paminėjo, kad atvirojo kodo įrankių naudojimas leidžia įsilaužėliams pritraukti mažiau dėmesio ir išvengti būtinybės kurti galimybes nuo nulio.
