QuiteRAT knyttet til nordkoreanske APT Lazarus

En beryktet hackergruppe tilknyttet den nordkoreanske regjeringen bruker en fersk variant av ondsinnet programvare for å målrette helseorganisasjoner og kritisk internettinfrastruktur i Europa og USA.

Sikkerhetseksperter fra Cisco Talos har gitt ut to rapporter som beskriver en rekke hendelser knyttet til den mangeårige Lazarus hackergruppen. Denne gruppen ble kjent for sitt påståtte engasjement i å stjele omtrent 1,7 milliarder dollar i kryptovaluta i løpet av 2022.

Ifølge forskerne er dette den tredje dokumenterte kampanjen knyttet til denne gruppen på under ett år. Hackerne har gjenbrukt den samme infrastrukturen på tvers av disse operasjonene. Angrepene involverte utnyttelse av en sårbarhet i ManageEngine ServiceDesk, selv om de spesifikke målene ikke er avslørt.

ManageEngines suite er mye brukt av en rekke organisasjoner, inkludert en betydelig del av Fortune 100-selskaper, for å administrere IT-systemer. Sårbarheten (CVE-2022-47966) ble offentlig erkjent av selskapet tidligere, og sikkerhetsfirmaer advarte om utnyttelse av den av hackere.

I februar begynte angriperne å utnytte denne sårbarheten til å distribuere en mer intrikat type skadelig programvare, merket som QuiteRAT av forskerne ved Cisco Talos. Mens QuiteRAT deler flere egenskaper med andre stammer av skadelig programvare fra Lazarus, er QuiteRAT bevisst designet for å være vanskeligere for forsvarere å analysere og oppdage. Hackerne brukte også åpen kildekode-verktøy og rammeverk i de innledende stadiene av angrepene.

Skadevaren gir hackerne mulighet til å samle informasjon fra kompromitterte enheter og inkluderer en funksjon som lar den ligge i dvale i spesifiserte perioder, og sikrer dens skjulte tilstedeværelse på det kompromitterte nettverket.

QuiteRAT lykkes med MagicRAT

I motsetning til forgjengeren MagicRAT, er QuiteRAT mindre, og veier bare 4 til 5 megabyte. Den mangler evnen til å sikre utholdenhet på et offers nettverk, noe som gjør at hackerne må introdusere en egen utholdenhetsevne senere.

Forskerne oppdaget likheter mellom QuiteRAT og MagicRAT, noe som indikerer at førstnevnte er et derivat av sistnevnte. Begge deler evner som å utføre vilkårlige kommandoer på det kompromitterte systemet.

I tillegg til QuiteRAT, avdekket forskerne en annen Lazarus Group-trussel kalt 'CollectionRAT.' Denne nye trusselen har standard fjerntilgang trojaner (RAT) funksjoner, inkludert kapasitet til å utføre vilkårlige kommandoer på kompromitterte systemer. CollectionRAT var knyttet til en Lazarus Group-enhet kalt Andariel.

Hackerne bak Lazarus Group skifter taktikk, og stoler i økende grad på åpen kildekode-verktøy etter hvert som de utvikler metodene sine. Til tross for å bli oppdaget av en rekke sikkerhetsfirmaer og myndigheter over hele verden, fortsetter gruppen å gjenbruke mye av den samme infrastrukturen, teknikkene og prosedyrene, og viser en frekk tilnærming.

Cisco Talos bemerket at dette utgjør den tredje Lazarus-kampanjen som ble overvåket det siste året, inkludert angrep mot energileverandører i USA, Canada og Japan i forrige september.

Bruken av åpen kildekode-verktøy er bekymrende for flere cybersikkerhetseksperter, siden det kompliserer attribusjon og akselererer utnyttelsesprosessen. Callie Guenther, seniorleder for cybertrusselsforskning ved Critical Start, nevnte at bruk av åpen kildekode-verktøy gjør det mulig for hackere å tiltrekke seg mindre oppmerksomhet og unngå behovet for å utvikle evner fra bunnen av.