QuiteRAT vinculado ao APT Lazarus norte-coreano

Um infame grupo de hackers afiliado ao governo norte-coreano está empregando uma nova variante de software malicioso para atingir organizações de saúde e infraestruturas críticas da Internet na Europa e nos EUA.

Especialistas em segurança da Cisco Talos divulgaram dois relatórios detalhando uma série de incidentes associados ao antigo grupo de hackers Lazarus. Este grupo ganhou notoriedade por seu suposto envolvimento no roubo de aproximadamente US$ 1,7 bilhão em criptomoedas durante 2022.

Segundo os investigadores, esta é a terceira campanha documentada ligada a este grupo em menos de um ano. Os hackers têm reutilizado a mesma infraestrutura nessas operações. Os ataques envolveram a exploração de uma vulnerabilidade no ManageEngine ServiceDesk, embora os alvos específicos não tenham sido divulgados.

O pacote ManageEngine é amplamente utilizado por inúmeras organizações, incluindo uma parcela significativa das empresas Fortune 100, para gerenciamento de sistemas de TI. A vulnerabilidade (CVE-2022-47966) foi reconhecida publicamente pela empresa anteriormente, e empresas de segurança alertaram sobre sua exploração por hackers.

Em fevereiro, os invasores começaram a aproveitar essa vulnerabilidade para implantar um tipo de malware mais complexo, rotulado como QuiteRAT pelos pesquisadores da Cisco Talos. Embora compartilhe várias características com outras variedades de malware Lazarus, o QuiteRAT foi deliberadamente projetado para ser mais difícil de ser analisado e detectado pelos defensores. Os hackers também empregaram ferramentas e estruturas de código aberto durante os estágios iniciais de seus ataques.

O malware permite que os hackers coletem informações de dispositivos comprometidos e inclui um recurso que permite permanecer inativo por períodos específicos, garantindo sua presença secreta na rede comprometida.

QuiteRAT sucede MagicRAT

Ao contrário do seu antecessor MagicRAT, o QuiteRAT é menor, pesando apenas 4 a 5 megabytes. Falta-lhe a capacidade de garantir a persistência na rede da vítima, sendo necessário que os hackers introduzam uma capacidade de persistência separada mais tarde.

Os pesquisadores descobriram semelhanças entre QuiteRAT e MagicRAT, indicando que o primeiro é um derivado do último. Ambos compartilham habilidades como a execução de comandos arbitrários no sistema comprometido.

Além do QuiteRAT, os pesquisadores descobriram outra ameaça do Grupo Lazarus chamada ‘CollectionRAT’. Esta nova ameaça possui recursos padrão de trojan de acesso remoto (RAT), incluindo a capacidade de executar comandos arbitrários em sistemas comprometidos. CollectionRAT estava vinculado a uma unidade do Grupo Lazarus chamada Andariel.

Os hackers por trás do Lazarus Group estão mudando suas táticas, contando cada vez mais com ferramentas de código aberto à medida que evoluem seus métodos. Apesar de ter sido detectado por inúmeras empresas de segurança e governos em todo o mundo, o grupo continua a reutilizar grande parte da mesma infra-estrutura, técnicas e procedimentos, exibindo uma abordagem descarada.

Cisco Talos observou que esta constitui a terceira campanha do Lazarus monitorada no ano passado, incluindo ataques contra fornecedores de energia nos EUA, Canadá e Japão em setembro anterior.

A utilização de ferramentas de código aberto preocupa vários especialistas em segurança cibernética, pois complica a atribuição e acelera o processo de exploração. Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start, mencionou que o uso de ferramentas de código aberto permite que os hackers atraiam menos atenção e evitem a necessidade de desenvolver capacidades do zero.