QuietRAT gekoppeld aan Noord-Koreaanse APT Lazarus

Een beruchte hackgroep gelieerd aan de Noord-Koreaanse overheid gebruikt een nieuwe variant van kwaadaardige software om gezondheidszorgorganisaties en kritieke internetinfrastructuur in Europa en de VS aan te vallen.

Beveiligingsexperts van Cisco Talos hebben twee rapporten vrijgegeven waarin een reeks incidenten worden beschreven die verband houden met de al lang bestaande hackgroep Lazarus. Deze groep kreeg bekendheid vanwege zijn vermeende betrokkenheid bij het stelen van ongeveer $1,7 miljard aan cryptocurrency in 2022.

Volgens de onderzoekers is dit de derde gedocumenteerde campagne in minder dan een jaar tijd die aan deze groep is gekoppeld. De hackers hebben bij deze operaties dezelfde infrastructuur hergebruikt. Bij de aanvallen werd misbruik gemaakt van een kwetsbaarheid in ManageEngine ServiceDesk, hoewel de specifieke doelwitten niet zijn bekendgemaakt.

De suite van ManageEngine wordt veel gebruikt door tal van organisaties, waaronder een aanzienlijk deel van de Fortune 100-bedrijven, voor het beheer van IT-systemen. De kwetsbaarheid (CVE-2022-47966) werd eerder door het bedrijf publiekelijk erkend en beveiligingsbedrijven waarschuwden voor de uitbuiting ervan door hackers.

In februari begonnen de aanvallers misbruik te maken van dit beveiligingslek om een ingewikkelder type malware in te zetten, door de onderzoekers van Cisco Talos gelabeld als QuietRAT. Hoewel QuietRAT verschillende kenmerken gemeen heeft met andere Lazarus-malwarevarianten, is het bewust ontworpen om voor verdedigers moeilijker te analyseren en te detecteren. De hackers maakten tijdens de beginfase van hun aanvallen ook gebruik van open source-tools en -frameworks.

De malware stelt de hackers in staat informatie te verzamelen van aangetaste apparaten en bevat een functie waardoor deze gedurende bepaalde perioden inactief kan blijven, waardoor de geheime aanwezigheid op het aangetaste netwerk wordt gegarandeerd.

QuietRAT is de opvolger van MagicRAT

In tegenstelling tot zijn voorganger MagicRAT is QuietRAT kleiner en weegt slechts 4 tot 5 megabytes. Het mist de mogelijkheid om persistentie op het netwerk van een slachtoffer te garanderen, waardoor de hackers later een aparte persistentiemogelijkheid moeten introduceren.

De onderzoekers ontdekten overeenkomsten tussen QuitRAT en MagicRAT, wat aangeeft dat de eerste een afgeleide is van de laatste. Beiden delen vaardigheden zoals het uitvoeren van willekeurige opdrachten op het gecompromitteerde systeem.

Naast QuietRAT ontdekten de onderzoekers nog een Lazarus Group-bedreiging genaamd 'CollectionRAT'. Deze nieuwe dreiging beschikt over standaard RAT-functies (Remote Access Trojan), waaronder de capaciteit om willekeurige opdrachten uit te voeren op gecompromitteerde systemen. CollectionRAT was gekoppeld aan een Lazarus Group-eenheid genaamd Andariel.

De hackers achter Lazarus Group veranderen hun tactieken en vertrouwen steeds meer op open source-tools terwijl ze hun methoden ontwikkelen. Ondanks dat ze door talloze beveiligingsbedrijven en overheden over de hele wereld zijn ontdekt, blijft de groep veel van dezelfde infrastructuur, technieken en procedures hergebruiken, waarbij ze blijk geven van een brutale aanpak.

Cisco Talos merkte op dat dit de derde Lazarus-campagne is die het afgelopen jaar is gemonitord, inclusief aanvallen op energieleveranciers in de VS, Canada en Japan in september daarvoor.

Het gebruik van open source-tools baart verschillende cyberbeveiligingsexperts zorgen, omdat het de attributie bemoeilijkt en het exploitatieproces versnelt. Callie Guenther, senior manager onderzoek naar cyberdreigingen bij Critical Start, zei dat het gebruik van open-source tools hackers in staat stelt minder aandacht te trekken en de noodzaak te vermijden om vaardigheden helemaal opnieuw te ontwikkelen.