QuiteRAT связан с северокорейским APT Lazarus

Печально известная хакерская группа, связанная с правительством Северной Кореи, использует новый вариант вредоносного программного обеспечения для атак на организации здравоохранения и критически важную интернет-инфраструктуру в Европе и США.

Эксперты по безопасности из Cisco Talos опубликовали два отчета, в которых подробно описывается серия инцидентов, связанных с давней хакерской группой Lazarus. Эта группа получила известность благодаря предполагаемому участию в краже криптовалюты на сумму около 1,7 миллиарда долларов в 2022 году.

По словам исследователей, это третья задокументированная кампания, связанная с этой группой, менее чем за год. Хакеры повторно использовали одну и ту же инфраструктуру в своих операциях. Атаки включали использование уязвимости в ManageEngine ServiceDesk, хотя конкретные цели не разглашаются.

Пакет ManageEngine широко используется многими организациями, в том числе значительной частью компаний из списка Fortune 100, для управления ИТ-системами. Уязвимость (CVE-2022-47966) ранее была публично признана компанией, а охранные фирмы предупредили о ее использовании хакерами.

В феврале злоумышленники начали использовать эту уязвимость для развертывания более сложного типа вредоносного ПО, названного исследователями Cisco Talos как QuiteRAT. Несмотря на то, что QuiteRAT имеет некоторые общие характеристики с другими штаммами вредоносного ПО Lazarus, он намеренно разработан так, чтобы защитникам было сложнее его анализировать и обнаруживать. Хакеры также использовали инструменты и платформы с открытым исходным кодом на начальных этапах своих атак.

Вредоносное ПО позволяет хакерам собирать информацию со скомпрометированных устройств и включает в себя функцию, позволяющую ему бездействовать в течение определенных периодов, обеспечивая его скрытое присутствие в взломанной сети.

QuiteRAT приходит на смену MagicRAT

В отличие от своего предшественника MagicRAT, QuiteRAT меньше по размеру и весит всего 4–5 мегабайт. Ему не хватает возможности обеспечить постоянство в сети жертвы, что вынуждает хакеров позже внедрять отдельную возможность сохранения.

Исследователи обнаружили сходство между QuiteRAT и MagicRAT, указывая на то, что первый является производным второго. Оба имеют общие способности, такие как выполнение произвольных команд в скомпрометированной системе.

Помимо QuiteRAT, исследователи обнаружили еще одну угрозу Lazarus Group под названием «CollectionRAT». Эта новая угроза обладает стандартными функциями трояна удаленного доступа (RAT), включая способность выполнять произвольные команды на скомпрометированных системах. CollectionRAT был связан с подразделением Lazarus Group под названием Andariel.

Хакеры, стоящие за Lazarus Group, меняют свою тактику, все больше полагаясь на инструменты с открытым исходным кодом по мере развития своих методов. Несмотря на то, что группа была обнаружена многочисленными охранными фирмами и правительствами по всему миру, она продолжает повторно использовать большую часть той же инфраструктуры, методов и процедур, демонстрируя наглый подход.

Cisco Talos отметила, что это третья кампания Lazarus, отслеживаемая за последний год, включая атаки на поставщиков энергии в США, Канаде и Японии в сентябре прошлого года.

Использование инструментов с открытым исходным кодом вызывает обеспокоенность у некоторых экспертов по кибербезопасности, поскольку это усложняет атрибуцию и ускоряет процесс эксплуатации. Кэлли Гюнтер, старший менеджер по исследованию киберугроз в Critical Start, отметила, что использование инструментов с открытым исходным кодом позволяет хакерам привлекать меньше внимания и избегать необходимости разрабатывать возможности с нуля.