Grupa Lazarus APT koju sponzoriše severnokorejska država pokrenula je novu inicijativu usmerenu na ključnu infrastrukturu interneta i zdravstvene organizacije koje se nalaze u Evropi, a američki Cisco Talos je izvjestio da su hakeri započeli svoj napad tako što su iskoristili ranjivost unutar ManageEngine ServiceDeska (CVE-2022 -47966) već u januaru, samo pet dana nakon njenog otkrića.
Zaronimo u detalje
- Lazarus je iskoristio eksploataciju da uspostavi početni pristup, što je podstaklo trenutno preuzimanje i pokretanje malicioznog binarnog programa kroz Java runtime proces, čime je pokrenuo implantaciju na kompromitovanom serveru.
- Ova binarna datoteka predstavlja modifikovanu verziju grupnog malware-a MagicRAT, nazvanog QuiteRAT .
- Lazarus Group APT je takođe u ovu kampanju uveo novi malware pod nazivom CollectionRAT. Funkcioniše kao RAT sposoban da izvršava proizvoljne komande na kompromitovanom sistemu.
Nadalje, istraživači sigurnosti mogli bi uspostaviti vezu između CollectionRAT-a i Jupiter/EarlyRAT-a, malicioznog softvera koji je ranije bio povezan sa Andariel APT frakcijom, koji djeluju pod okriljem Lazarus grupe.
Od MagicRAT-a do QuiteRAT-a
Slično MagicRAT- u, QuiteRAT je konstruisan korišćenjem Qt okvira, otvorenog koda, višeplatformskog okvira dizajniranog za izradu aplikacija. Može se pohvaliti funkcionalnostima kao što je proizvoljno izvršenje naredbi.
- Međutim, njegova veličina datoteke je znatno manja, u rasponu od 4 do 5MB, za razliku od MagicRAT-ovih 18MB.
- Analiza ističe da se ova značajna razlika u veličini može pripisati odluci Lazarus grupe da u QuiteRAT ugradi samo bitne Qt biblioteke, za razliku od MagicRAT-a, gdje je integrisan cijeli Qt okvir.
- Iako MagicRAT integriše mehanizme za postojanost omogućavajući konfiguraciju zakazanih zadataka, QuiteRAT-u nedostaje inherentna funkcionalnost postojanosti. Umjesto toga, QuiteRAT se oslanja na C2 server da mu pruži instrukcije o postojanosti.
Zaključak
Ovo je treća zvanično dokumentovana kampanja koja se pripisuje Lazarus grupi u prvim mjesecima 2023. godine, a zanimljivo je da je ovaj haker dosljedno mijenjao istu infrastrukturu u svim ovim operacijama. Savjetuje se timovima za kibernetičku sigurnost da prate i analiziraju prijetnju radi prevencije infekcije QuiteRAT-om.
Izvor: Cyware Alerts – Hacker News
