QuitRAT Powiązany z północnokoreańskim APT Lazarus

Niesławna grupa hakerska powiązana z rządem Korei Północnej wykorzystuje nową odmianę złośliwego oprogramowania, aby atakować organizacje opieki zdrowotnej i krytyczną infrastrukturę internetową w Europie i USA.

Eksperci ds. bezpieczeństwa z Cisco Talos opublikowali dwa raporty szczegółowo opisujące serię incydentów związanych z wieloletnią grupą hakerską Lazarus. Grupa ta zyskała rozgłos dzięki rzekomemu zaangażowaniu w kradzież kryptowaluty o wartości około 1,7 miliarda dolarów w 2022 roku.

Zdaniem badaczy jest to trzecia udokumentowana kampania powiązana z tą grupą w ciągu niecałego roku. Hakerzy ponownie wykorzystywali tę samą infrastrukturę podczas tych operacji. Ataki polegały na wykorzystaniu luki w zabezpieczeniach ManageEngine ServiceDesk, chociaż konkretne cele nie zostały ujawnione.

Pakiet ManageEngine jest szeroko stosowany przez wiele organizacji, w tym znaczną część firm z listy Fortune 100, do zarządzania systemami informatycznymi. Luka (CVE-2022-47966) została wcześniej publicznie stwierdzona przez firmę, a firmy zajmujące się bezpieczeństwem ostrzegały przed wykorzystaniem jej przez hakerów.

W lutym napastnicy zaczęli wykorzystywać tę lukę do wdrażania bardziej złożonego typu złośliwego oprogramowania, oznaczonego przez badaczy z Cisco Talos jako QuitRAT. Choć ma kilka cech wspólnych z innymi odmianami złośliwego oprogramowania Lazarus, QuitRAT został celowo zaprojektowany tak, aby był trudniejszy do analizy i wykrycia przez obrońców. Hakerzy wykorzystali także narzędzia i frameworki typu open source na początkowych etapach swoich ataków.

Szkodnik umożliwia hakerom zbieranie informacji z zaatakowanych urządzeń i zawiera funkcję pozwalającą mu pozostawać w stanie uśpienia przez określony czas, zapewniając jego ukrytą obecność w zaatakowanej sieci.

CałkiemRAT zastępuje MagicRAT

W przeciwieństwie do swojego poprzednika MagicRAT, QuitRAT jest mniejszy i waży tylko 4 do 5 megabajtów. Brakuje mu możliwości zapewnienia trwałości w sieci ofiary, co powoduje, że hakerzy muszą później wprowadzić oddzielną funkcję utrwalania.

Naukowcy odkryli podobieństwa między QuitRAT i MagicRAT, wskazując, że ten pierwszy jest pochodną drugiego. Obydwa mają wspólne możliwości, takie jak wykonywanie dowolnych poleceń w zaatakowanym systemie.

Oprócz QuitRAT badacze odkryli inne zagrożenie Grupy Lazarus o nazwie „CollectionRAT”. To nowe zagrożenie posiada standardowe funkcje trojana zdalnego dostępu (RAT), w tym możliwość wykonywania dowolnych poleceń w zaatakowanych systemach. CollectionRAT został powiązany z jednostką Grupy Lazarus o nazwie Andariel.

Hakerzy stojący za Lazarus Group zmieniają taktykę, w miarę ewolucji swoich metod w coraz większym stopniu polegają na narzędziach typu open source. Pomimo wykrycia przez wiele firm i rządów zajmujących się bezpieczeństwem na całym świecie grupa w dalszym ciągu ponownie wykorzystuje większość tej samej infrastruktury, technik i procedur, wykazując się bezczelnym podejściem.

Cisco Talos zauważył, że jest to trzecia kampania Lazarus monitorowana w ubiegłym roku, obejmująca ataki na dostawców energii w USA, Kanadzie i Japonii we wrześniu ubiegłego roku.

Kilku ekspertów ds. cyberbezpieczeństwa niepokoi wykorzystanie narzędzi typu open source, ponieważ komplikuje atrybucję i przyspiesza proces wykorzystania. Callie Guenther, starsza menedżerka ds. badań nad cyberzagrożeniami w firmie Critical Start, wspomniała, że korzystanie z narzędzi typu open source pozwala hakerom przyciągać mniej uwagi i unikać konieczności opracowywania możliwości od zera.