Έχει παρατηρηθεί ότι η ομάδα με συνδέσεις στη Βόρεια Κορέα, γνωστή ως Lazarus Group, εκμεταλλεύεται μια κρίσιμη ευπάθεια που πλέον έχει επιδιορθωθεί και επηρεάζει το Zoho ManageEngine ServiceDesk Plus, για να διανέμει ένα remote access trojan με την ονομασία QuiteRAT.
Οι στόχοι περιλαμβάνουν υποδομές κορμού του Διαδικτύου και οντότητες υγειονομικής περίθαλψης στην Ευρώπη και τις ΗΠΑ, δήλωσε η εταιρεία κυβερνοασφάλειας Cisco Talos σε ανάλυση δύο μερών που δημοσιεύθηκε σήμερα.
Επιπλέον, μια πιο προσεκτική εξέταση της υποδομής ανακυκλωμένων επιθέσεων του adversary που χρησιμοποιείται στις επιθέσεις στον κυβερνοχώρο σε επιχειρήσεις έχει οδηγήσει στην ανακάλυψη μιας νέας απειλής που ονομάζεται CollectionRAT.
Το γεγονός ότι το Lazarus Group συνεχίζει να βασίζεται στην ίδια τεχνοτροπία παρά το γεγονός ότι αυτά τα components έχουν τεκμηριωθεί εδώ και χρόνια υπογραμμίζει την εμπιστοσύνη των χάκερ στις επιχειρήσεις τους, επεσήμανε η Talos.
Λέγεται ότι το QuiteRAT είναι διάδοχος του MagicRAT, αυτό καθαυτό μια συνέχεια του TigerRAT, ενώ το CollectionRAT φαίνεται να έχει κοινά στοιχεία με το EarlyRAT (γνωστό και ως Jupiter), ενός implant γραμμένου σε PureBasic με ικανότητες για εκτέλεση εντολών στο endpoint.
Η χρήση του Qt framework αντιμετωπίζεται ως μια προθεματική προσπάθεια από τον adversary για να δυσκολέψει την ανάλυση καθώς “αυξάνει την πολυπλοκότητα του κώδικα του κακόβουλου λογισμικού“.
Η δραστηριότητα, που εντοπίστηκε στις αρχές του 2023, περιλάμβανε την εκμετάλλευση του CVE-2022-47966, μόλις πέντε μέρες μετά τη δημιουργία proof-of-concept (Poc) για το σφάλμα που εμφανίστηκε στο διαδίκτυο, για να αναπτύξει απευθείας το QuiteRAT binary από μια κακόβουλη διεύθυνση URL.
Μία άλλη κρίσιμη διαφορά μεταξύ των δύο είναι η έλλειψη ενσωματωμένου μηχανισμού διατήρησης στο QuiteRAT, που απαιτεί την εκδοθείσα εντολή από τον server για να εξασφαλιστεί η συνεχής λειτουργία στον παραβιασμένο host.
Τα ευρήματα επικαλύπτονται επίσης με μια άλλη εκστρατεία που αποκαλύφθηκε από την WithSecure τον περασμένο Φεβρουάριο, κατά την οποία εκμεταλλεύτηκαν αδυναμίες ασφαλείας σε μη ενημερωμένες συσκευές Zimbra για να παραβιάσουν συστήματα θυμάτων και τελικά να εγκαταστήσουν το QuiteRAT.
Η Cisco Talos ανέφερε ότι ο εχθρός «υποβαθμίζει όλο και περισσότερο στη χρήση ανοικτού κώδικα εργαλείων και πλαισίων κατά την αρχική πρόσβαση στις επιθέσεις τους, αντί να τα εφαρμόζουν αυστηρά στην φάση μετά από παραβίαση».
Αυτό περιλαμβάνει το DeimosC2 framework βασισμένο σε GoLang, το οποίο χρησιμοποιείται για την απόκτηση μόνιμης πρόσβασης, με το CollectionRAT να χρησιμοποιείται κυρίως για τη συλλογή metadata, την εκτέλεση αυθαίρετων εντολών, τη διαχείριση αρχείων στο μολυσμένο σύστημα και την παράδοση επιπλέον φορτίων.
Δεν είναι αμέσως κατανοητό πώς διαδίδεται το CollectionRAT, αλλά τα στοιχεία δείχνουν ότι ένα τροποποιημένο αντίγραφο του προγράμματος PuTTY Link (Plink) που φιλοξενείται στην ίδια υποδομή χρησιμοποιείται για να δημιουργηθεί ένα remote tunnel στο σύστημα και να χρησιμοποιηθεί για την εξυπηρέτηση του κακόβουλου λογισμικού.
Η ανάπτυξη είναι ένα σημάδι ότι το Lazarus Group συνεχώς αλλάζει τακτικές και επεκτείνει την κακόβουλη εργαλειοθήκη της, εκμεταλλευόμενη παράλληλα νεοανακοινωμένες ευπάθειες σε λογισμικό με καταστροφικές συνέπειες.
Πηγή πληροφοριών: thehackernews.com
