QuiteRAT kopplat till nordkoreanska APT Lazarus

En ökända hackergrupp ansluten till den nordkoreanska regeringen använder en ny variant av skadlig programvara för att rikta in sig på vårdorganisationer och kritisk internetinfrastruktur i Europa och USA.

Säkerhetsexperter från Cisco Talos har släppt två rapporter som beskriver en serie incidenter associerade med den långvariga Lazarus-hackargruppen. Denna grupp blev känd för sin påstådda inblandning i att stjäla cirka 1,7 miljarder dollar i kryptovaluta under 2022.

Enligt forskarna är detta den tredje dokumenterade kampanjen kopplad till denna grupp på mindre än ett år. Hackarna har återanvänt samma infrastruktur i dessa verksamheter. Attackerna involverade utnyttjande av en sårbarhet i ManageEngine ServiceDesk, även om de specifika målen inte har avslöjats.

ManageEngines svit används i stor utsträckning av många organisationer, inklusive en betydande del av Fortune 100-företag, för att hantera IT-system. Sårbarheten (CVE-2022-47966) erkändes offentligt av företaget tidigare, och säkerhetsföretag varnade för att den utnyttjades av hackare.

I februari började angriparna dra nytta av denna sårbarhet för att distribuera en mer invecklad typ av skadlig programvara, märkt som QuiteRAT av forskarna vid Cisco Talos. Medan QuiteRAT delar flera egenskaper med andra Lazarus skadliga stammar, är QuiteRAT medvetet utformad för att vara svårare för försvarare att analysera och upptäcka. Hackarna använde också verktyg och ramverk med öppen källkod under de inledande stadierna av sina attacker.

Skadlig programvara ger hackarna möjlighet att samla in information från komprometterade enheter och inkluderar en funktion som gör att den kan ligga vilande under bestämda perioder, vilket säkerställer dess hemliga närvaro på det komprometterade nätverket.

QuiteRAT efterträder MagicRAT

Till skillnad från sin föregångare MagicRAT är QuiteRAT mindre och väger bara 4 till 5 megabyte. Det saknar förmågan att säkerställa uthållighet på ett offers nätverk, vilket gör att hackarna måste införa en separat uthållighetskapacitet senare.

Forskarna upptäckte likheter mellan QuiteRAT och MagicRAT, vilket tyder på att det förra är ett derivat av det senare. Båda delar förmågor som att exekvera godtyckliga kommandon på det komprometterade systemet.

Förutom QuiteRAT upptäckte forskarna ett annat Lazarus Group-hot som heter 'CollectionRAT'. Detta nya hot har standardfunktioner för fjärråtkomsttrojaner (RAT), inklusive kapaciteten att utföra godtyckliga kommandon på komprometterade system. CollectionRAT var kopplat till en Lazarus Group-enhet som heter Andariel.

Hackarna bakom Lazarus Group ändrar sin taktik och förlitar sig alltmer på verktyg med öppen källkod när de utvecklar sina metoder. Trots att de har upptäckts av många säkerhetsföretag och regeringar över hela världen, fortsätter gruppen att återanvända mycket av samma infrastruktur, tekniker och procedurer, med ett fräckt tillvägagångssätt.

Cisco Talos noterade att detta utgör den tredje Lazarus-kampanjen som övervakats under det senaste året, inklusive attacker mot energileverantörer i USA, Kanada och Japan i september innan.

Användningen av verktyg med öppen källkod är oroande för flera cybersäkerhetsexperter, eftersom det komplicerar tillskrivningen och påskyndar exploateringen. Callie Guenther, senior chef för cyberthotsforskning på Critical Start, nämnde att användningen av open source-verktyg gör det möjligt för hackare att dra till sig mindre uppmärksamhet och undvika behovet av att utveckla kapacitet från grunden.