QuiteRAT 與朝鮮 APT Lazarus 相關
隸屬於朝鮮政府的一個臭名昭著的黑客組織正在使用一種新的惡意軟件變種來攻擊歐洲和美國的醫療機構和關鍵互聯網基礎設施。
思科 Talos 的安全專家發布了兩份報告,詳細介紹了與長期存在的 Lazarus 黑客組織相關的一系列事件。該組織因涉嫌在 2022 年期間竊取約 17 億美元的加密貨幣而聲名狼藉。
據研究人員稱,這標誌著一年內第三次有記錄的與該組織有關的活動。黑客在這些行動中一直重複使用相同的基礎設施。這些攻擊涉及利用 ManageEngine ServiceDesk 中的漏洞,但具體目標尚未披露。
ManageEngine 的套件被眾多組織廣泛使用,其中包括大部分財富 100 強公司,用於管理 IT 系統。該漏洞(CVE-2022-47966)早些時候已被該公司公開承認,安全公司就黑客利用該漏洞發出警告。
今年 2 月,攻擊者開始利用此漏洞部署一種更複雜的惡意軟件,思科 Talos 的研究人員將其標記為 QuiteRAT。儘管與其他 Lazarus 惡意軟件菌株具有一些共同特徵,但 QuiteRAT 的設計目的是讓防御者更難分析和檢測。黑客在攻擊的初始階段還使用了開源工具和框架。
該惡意軟件使黑客能夠從受感染的設備收集信息,並具有允許其在指定時間內處於休眠狀態的功能,從而確保其秘密存在於受感染的網絡上。
QuiteRAT 繼承 MagicRAT
與其前身 MagicRAT 不同,QuiteRAT 更小,重量僅為 4 到 5 MB。它缺乏確保受害者網絡持久性的能力,因此需要黑客稍後引入單獨的持久性功能。
研究人員發現QuiteRAT和MagicRAT之間的相似之處,表明前者是後者的衍生品。兩者都有相同的能力,例如在受感染的系統上執行任意命令。
除了 QuiteRAT 之外,研究人員還發現了另一個名為“CollectionRAT”的 Lazarus Group 威脅。這種新威脅擁有標準遠程訪問木馬 (RAT) 功能,包括在受感染系統上執行任意命令的能力。 CollectionRAT 與 Lazarus Group 的一個名為 Andariel 的部門有聯繫。
Lazarus Group 背後的黑客正在改變策略,在改進方法時越來越依賴開源工具。儘管被世界各地眾多安全公司和政府發現,該組織仍繼續重複使用大部分相同的基礎設施、技術和程序,表現出一種厚顏無恥的做法。
思科 Talos 指出,這是去年監控的第三次 Lazarus 活動,其中包括去年 9 月針對美國、加拿大和日本能源提供商的攻擊。
開源工具的使用引起了一些網絡安全專家的擔憂,因為它使歸因變得複雜並加速了利用過程。 Critical Start 網絡威脅研究高級經理 Callie Guenther 提到,使用開源工具可以減少黑客的關注,並避免從頭開始開發功能。