Lazarus koristi ManageEngine za implementaciju QuiteRAT-a

Grupa Lazarus APT koju sponzoriše severnokorejska država pokrenula je novu inicijativu usmerenu na ključnu infrastrukturu interneta i zdravstvene organizacije koje se nalaze u Evropi, a američki Cisco Talos je izvjestio da su hakeri započeli svoj napad tako što su iskoristili ranjivost unutar ManageEngine ServiceDeska (CVE-2022 -47966) već u januaru, samo pet dana nakon njenog otkrića.

Zaronimo u detalje

  • Lazarus je iskoristio eksploataciju da uspostavi početni pristup, što je podstaklo trenutno preuzimanje i pokretanje malicioznog binarnog programa kroz Java runtime proces, čime je pokrenuo implantaciju na kompromitovanom serveru. 
  • Ova binarna datoteka predstavlja modifikovanu verziju grupnog malware-a MagicRAT, nazvanog QuiteRAT .
  • Lazarus Group APT je takođe u ovu kampanju uveo novi malware pod nazivom CollectionRAT. Funkcioniše kao RAT sposoban da izvršava proizvoljne komande na kompromitovanom sistemu. 

Nadalje, istraživači sigurnosti mogli bi uspostaviti vezu između CollectionRAT-a i Jupiter/EarlyRAT-a, malicioznog softvera koji je ranije bio povezan sa Andariel APT frakcijom, koji djeluju pod okriljem Lazarus grupe.

Od MagicRAT-a do QuiteRAT-a

Slično MagicRAT- u, QuiteRAT je konstruisan korišćenjem Qt okvira, otvorenog koda, višeplatformskog okvira dizajniranog za izradu aplikacija. Može se pohvaliti funkcionalnostima kao što je proizvoljno izvršenje naredbi.

  • Međutim, njegova veličina datoteke je znatno manja, u rasponu od 4 do 5MB, za razliku od MagicRAT-ovih 18MB.
  • Analiza ističe da se ova značajna razlika u veličini može pripisati odluci Lazarus grupe da u QuiteRAT ugradi samo bitne Qt biblioteke, za razliku od MagicRAT-a, gdje je integrisan cijeli Qt okvir.
  • Iako MagicRAT integriše mehanizme za postojanost omogućavajući konfiguraciju zakazanih zadataka, QuiteRAT-u nedostaje inherentna funkcionalnost postojanosti. Umjesto toga, QuiteRAT se oslanja na C2 server da mu pruži instrukcije o postojanosti.

Zaključak

Ovo je treća zvanično dokumentovana kampanja koja se pripisuje Lazarus grupi u prvim mjesecima 2023. godine, a zanimljivo je da je ovaj haker dosljedno mijenjao istu infrastrukturu u svim ovim operacijama. Savjetuje se timovima za kibernetičku sigurnost da prate i analiziraju prijetnju radi prevencije infekcije QuiteRAT-om.

Izvor: Cyware Alerts – Hacker News

Recent Articles

spot_img

Related Stories