QuiteRAT 与朝鲜 APT Lazarus 相关
隶属于朝鲜政府的一个臭名昭著的黑客组织正在使用一种新的恶意软件变种来攻击欧洲和美国的医疗机构和关键互联网基础设施。
思科 Talos 的安全专家发布了两份报告,详细介绍了与长期存在的 Lazarus 黑客组织相关的一系列事件。该组织因涉嫌在 2022 年期间窃取约 17 亿美元的加密货币而声名狼藉。
据研究人员称,这标志着一年内第三次有记录的与该组织有关的活动。黑客在这些行动中一直重复使用相同的基础设施。这些攻击涉及利用 ManageEngine ServiceDesk 中的漏洞,但具体目标尚未披露。
ManageEngine 的套件被众多组织广泛使用,其中包括大部分财富 100 强公司,用于管理 IT 系统。该漏洞(CVE-2022-47966)早些时候已被该公司公开承认,安全公司就黑客利用该漏洞发出警告。
今年 2 月,攻击者开始利用此漏洞部署一种更复杂的恶意软件,思科 Talos 的研究人员将其标记为 QuiteRAT。尽管与其他 Lazarus 恶意软件菌株具有一些共同特征,但 QuiteRAT 的设计目的是让防御者更难分析和检测。黑客在攻击的初始阶段还使用了开源工具和框架。
该恶意软件使黑客能够从受感染的设备收集信息,并具有允许其在指定时间内处于休眠状态的功能,从而确保其秘密存在于受感染的网络上。
QuiteRAT 继承 MagicRAT
与其前身 MagicRAT 不同,QuiteRAT 更小,重量仅为 4 到 5 MB。它缺乏确保受害者网络持久性的能力,因此需要黑客稍后引入单独的持久性功能。
研究人员发现QuiteRAT和MagicRAT之间的相似之处,表明前者是后者的衍生品。两者都有相同的能力,例如在受感染的系统上执行任意命令。
除了 QuiteRAT 之外,研究人员还发现了另一个名为“CollectionRAT”的 Lazarus Group 威胁。这种新威胁拥有标准远程访问木马 (RAT) 功能,包括在受感染系统上执行任意命令的能力。 CollectionRAT 与 Lazarus Group 的一个名为 Andariel 的部门有联系。
Lazarus Group 背后的黑客正在改变策略,在改进方法时越来越依赖开源工具。尽管被世界各地众多安全公司和政府发现,该组织仍继续重复使用大部分相同的基础设施、技术和程序,表现出一种厚颜无耻的做法。
思科 Talos 指出,这是去年监控的第三次 Lazarus 活动,其中包括去年 9 月针对美国、加拿大和日本能源提供商的攻击。
开源工具的使用引起了一些网络安全专家的担忧,因为它使归因变得复杂并加速了利用过程。 Critical Start 网络威胁研究高级经理 Callie Guenther 提到,使用开源工具可以减少黑客的关注,并避免从头开始开发功能。