More

    Lazarus koristi ManageEngine za implementaciju QuiteRAT-a

    Grupa Lazarus APT koju sponzoriše severnokorejska država pokrenula je novu inicijativu usmerenu na ključnu infrastrukturu interneta i zdravstvene organizacije koje se nalaze u Evropi, a američki Cisco Talos je izvjestio da su hakeri započeli svoj napad tako što su iskoristili ranjivost unutar ManageEngine ServiceDeska (CVE-2022 -47966) već u januaru, samo pet dana nakon njenog otkrića.

    Zaronimo u detalje

    • Lazarus je iskoristio eksploataciju da uspostavi početni pristup, što je podstaklo trenutno preuzimanje i pokretanje malicioznog binarnog programa kroz Java runtime proces, čime je pokrenuo implantaciju na kompromitovanom serveru. 
    • Ova binarna datoteka predstavlja modifikovanu verziju grupnog malware-a MagicRAT, nazvanog QuiteRAT .
    • Lazarus Group APT je takođe u ovu kampanju uveo novi malware pod nazivom CollectionRAT. Funkcioniše kao RAT sposoban da izvršava proizvoljne komande na kompromitovanom sistemu. 

    Nadalje, istraživači sigurnosti mogli bi uspostaviti vezu između CollectionRAT-a i Jupiter/EarlyRAT-a, malicioznog softvera koji je ranije bio povezan sa Andariel APT frakcijom, koji djeluju pod okriljem Lazarus grupe.

    Od MagicRAT-a do QuiteRAT-a

    Slično MagicRAT- u, QuiteRAT je konstruisan korišćenjem Qt okvira, otvorenog koda, višeplatformskog okvira dizajniranog za izradu aplikacija. Može se pohvaliti funkcionalnostima kao što je proizvoljno izvršenje naredbi.

    • Međutim, njegova veličina datoteke je znatno manja, u rasponu od 4 do 5MB, za razliku od MagicRAT-ovih 18MB.
    • Analiza ističe da se ova značajna razlika u veličini može pripisati odluci Lazarus grupe da u QuiteRAT ugradi samo bitne Qt biblioteke, za razliku od MagicRAT-a, gdje je integrisan cijeli Qt okvir.
    • Iako MagicRAT integriše mehanizme za postojanost omogućavajući konfiguraciju zakazanih zadataka, QuiteRAT-u nedostaje inherentna funkcionalnost postojanosti. Umjesto toga, QuiteRAT se oslanja na C2 server da mu pruži instrukcije o postojanosti.

    Zaključak

    Ovo je treća zvanično dokumentovana kampanja koja se pripisuje Lazarus grupi u prvim mjesecima 2023. godine, a zanimljivo je da je ovaj haker dosljedno mijenjao istu infrastrukturu u svim ovim operacijama. Savjetuje se timovima za kibernetičku sigurnost da prate i analiziraju prijetnju radi prevencije infekcije QuiteRAT-om.

    Izvor: Cyware Alerts – Hacker News

    Recent Articles

    spot_img

    Related Stories