Οι χάκερ χρησιμοποιούν δημόσια εκμετάλλευση του ManageEngine για να παραβιάσουν τον διαδικτυακό οργανισμό

Η υποστηριζόμενη από το κράτος ομάδα χάκερ της Βόρειας Κορέας που παρακολουθείται ως Lazarus εκμεταλλεύεται μια κρίσιμη ευπάθεια (CVE-2022-47966) στο ManageEngine ServiceDesk της Zoho για να θέσει σε κίνδυνο έναν πάροχο υποδομής κορμού του Διαδικτύου και οργανισμούς υγειονομικής περίθαλψης.

Οι εκστρατείες ξεκίνησαν στις αρχές του τρέχοντος έτους και στόχευαν στην παραβίαση οντοτήτων στις ΗΠΑ και στο Ηνωμένο Βασίλειο για να αναπτύξουν το κακόβουλο λογισμικό QuiteRAT και ένα πρόσφατα ανακαλυφθέν trojan απομακρυσμένης πρόσβασης (RAT) που οι ερευνητές αποκαλούν CollectionRAT.

Το CollectionRAT ήρθε στο φως αφού οι ερευνητές ανέλυσαν την υποδομή που χρησιμοποιήθηκε για τις εκστρατείες, την οποία ο παράγοντας απειλής είχε χρησιμοποιήσει και για άλλες επιθέσεις.

Επιθέσεις σε εταιρείες διαδικτύου

Οι ερευνητές της Cisco Talos παρατήρησαν επιθέσεις εναντίον βρετανικών εταιρειών διαδικτύου στις αρχές του

2023

, όταν η Lazarus χρησιμοποίησε ένα exploit για το CVE-2022-47966, ένα ελάττωμα εκτέλεσης απομακρυσμένου κώδικα πριν από τον έλεγχο ταυτότητας που επηρεάζει πολλά προϊόντα Zoho ManageEngine.

Οι αναλυτές αναφέρουν ότι ο Lazarus άρχισε να χρησιμοποιεί το exploit μόλις πέντε ημέρες έγινε δημόσια διαθέσιμο. Πολλοί χάκερ εκμεταλλεύτηκαν την εκμετάλλευση σε επιθέσεις, όπως παρατηρήθηκε από τους Rapid7, Shadowserver και GreyNoise, ωθώντας την

CISA

να εκδώσει μια προειδοποίηση στους οργανισμούς.

Αφού εκμεταλλεύτηκαν την ευπάθεια για την παραβίαση ενός στόχου, οι χάκερ της Lazarus έριξαν το κακόβουλο λογισμικό QuiteRAT από μια εξωτερική διεύθυνση URL χρησιμοποιώντας ένα

μπούκλα

εντολή.

Το QuiteRAT, που ανακαλύφθηκε τον Φεβρουάριο του 2023, περιγράφεται ως ένας απλός αλλά ισχυρός trojan απομακρυσμένης πρόσβασης που φαίνεται να είναι ένα βήμα παραπάνω από το πιο γνωστό MagicRAT που χρησιμοποίησε ο Lazarus το δεύτερο εξάμηνο του 2022 για να στοχεύσει παρόχους ενέργειας στις ΗΠΑ, τον Καναδά και την Ιαπωνία .

Οι ερευνητές λένε ότι ο κώδικας του QuiteRAT είναι πιο λιτός από τον MagicRAT και η προσεκτική επιλογή των βιβλιοθηκών Qt μείωσε το μέγεθός του από 18 MB σε 4 MB, διατηρώντας το ίδιο σύνολο λειτουργιών.

Νέο κακόβουλο λογισμικό Lazarus

Σε ξεχωριστή αναφορά σήμερα, ο Cisco Talos είπε ότι οι χάκερ της Lazarus έχουν ένα νέο κακόβουλο λογισμικό που ονομάζεται CollectionRAT. Η νέα απειλή βρέθηκε αφού οι ερευνητές εξέτασαν την υποδομή που χρησιμοποίησε ο ηθοποιός σε άλλες επιθέσεις.

Οι ερευνητές λένε ότι το CollectionRAT φαίνεται να σχετίζεται με την οικογένεια “EarlyRAT”.

Νωρίτερα φέτος, η

Kaspersky

συνέδεσε την EarlyRAT με τον Andariel (“Stonefly), που πιστεύεται ότι είναι μια υποομάδα της ομάδας Lazarus.

Οι δυνατότητες του CollectionRAT περιλαμβάνουν αυθαίρετη εκτέλεση εντολών, διαχείριση αρχείων, συλλογή πληροφοριών συστήματος, δημιουργία αντίστροφου κελύφους, δημιουργία νέων διεργασιών, ανάκτηση και εκκίνηση νέων ωφέλιμων φορτίων και αυτοδιαγραφή.

Ένα άλλο ενδιαφέρον στοιχείο στο CollectionRAT είναι η ενσωμάτωση του πλαισίου

Microsoft


Foundation

Class (MFC), το οποίο του επιτρέπει να αποκρυπτογραφεί και να εκτελεί τον κώδικά του εν κινήσει, να αποφεύγει τον εντοπισμό και να εμποδίζει την ανάλυση.

Πρόσθετα σημάδια εξέλιξης στις τακτικές, τις τεχνικές και τις διαδικασίες του Lazarus που εντόπισε ο Cisco Talos περιλαμβάνουν την εκτεταμένη χρήση εργαλείων και πλαισίων ανοιχτού κώδικα, όπως το Mimikatz για κλοπή διαπιστευτηρίων, το PuTTY Link (Plink) για απομακρυσμένη σήραγγα και το DeimosC2 για εντολή και ελέγχου της επικοινωνίας.

Αυτή η προσέγγιση βοηθά τον Λάζαρο να αφήσει πίσω του λιγότερα διακριτά ίχνη και, ως εκ τούτου, δυσκολεύει την απόδοση, την παρακολούθηση και την ανάπτυξη αποτελεσματικών προστατευτικών μέτρων.