
Los piratas informáticos patrocinados por el estado norcoreano, Lazarus Group, han estado explotando una vulnerabilidad de ManageEngine ServiceDesk (CVE-2022-47966) para atacar la infraestructura troncal de Internet y las instituciones de atención médica en Europa y Estados Unidos.
El grupo aprovechó la vulnerabilidad para implementar QuiteRAT, descargado desde una dirección IP previamente asociada con el grupo de hackers Lazarus (también conocido como APT38).
QuiteRAT
CVE-2022-47966 fue parcheado a mediados de enero de 2023 y poco después se lanzó públicamente un exploit PoC y comenzaron los intentos de explotación en serio.
El malware que los investigadores de Cisco Talos denominaron QuiteRAT es un simple troyano de acceso remoto (RAT) similar al malware MagicRAT de Lazarus Group, solo que de menor tamaño.
Tanto MagicRAT como QuiteRAT utilizan el marco Qt para desarrollar aplicaciones multiplataforma y tienen la mayoría de las mismas capacidades. La diferencia de tamaño se puede atribuir a que MagicRAT incorpora todo el marco Qt, mientras que QuiteRAT utiliza un pequeño conjunto de bibliotecas Qt vinculadas estáticamente (y algo de código escrito por el usuario). Además, QuiteRAT carece de capacidades de persistencia integradas y depende del servidor C2 para proporcionarlas.
“La última versión del implante MagicRAT más antiguo de Lazarus Group observado en la naturaleza se compiló en abril de 2022. Esta es la última versión de MagicRAT que conocemos. El uso del implante derivado de MagicRAT, QuiteRAT, a partir de mayo de 2023 sugiere que el actor está cambiando de táctica, optando por un implante más pequeño y compacto basado en Qt”, dijeron los investigadores.
“Como se vio con el malware MagicRAT de Lazarus Group, el uso de Qt aumenta la complejidad del código, lo que dificulta el análisis humano. El uso de Qt también hace que el aprendizaje automático y la detección de análisis heurísticos sean menos confiables, ya que Qt rara vez se usa en el desarrollo de malware”.
La solución adecuada de supervisión de empleados y DLP para cada necesidad
Conocer..
Una vez ejecutado y activado, el implante QuiteRAT comienza a enviar información preliminar del sistema a sus servidores de comando y control (C2) y espera sus comandos. El malware es capaz de descargar e implementar cargas útiles maliciosas adicionales.
CollectionRAT: Otra arma en el arsenal del grupo
Además de permitir a los investigadores asociar estos últimos ataques con Lazarus, la inclinación del grupo por la reutilización de la infraestructura les ayudó a identificar otro malware que utilizan (a saber, CollectionRAT).
Sus capacidades incluyen la ejecución de comandos arbitrarios, la gestión de archivos del punto final infectado, la recopilación de información del sistema, la creación de shell inverso, la generación de nuevos procesos que permiten la descarga y el despliegue de cargas útiles adicionales y, finalmente, la capacidad de autoeliminar del punto final comprometido (cuando lo indique el C2).
“CollectionRAT consiste en un binario de Windows basado en una biblioteca Microsoft Foundation Class (MFC) empaquetado que descifra y ejecuta el código de malware real sobre la marcha. MFC, que tradicionalmente se utiliza para crear interfaces de usuario, controles y eventos de aplicaciones de Windows, permite que múltiples componentes de malware trabajen perfectamente entre sí mientras abstraen las implementaciones internas del sistema operativo Windows de los autores”, explicaron los investigadores.
“El uso de un marco tan complejo en el malware hace que el análisis humano sea más engorroso. Sin embargo, en CollectionRAT, el marco MFC acaba de usarse como contenedor/descifrador del código malicioso real”.
Lazarus Group es conocido por montar ciberataques de ciberespionaje y con motivación financiera destinados a promover los objetivos políticos de Corea del Norte y robar las criptomonedas necesarias para financiar los diversos esfuerzos de la nación.
El martes, el FBI advirtió a las compañías de criptomonedas que los actores afiliados al Grupo Lazarus están buscando retirar $40 millones de dólares en bitcoins robados en atracos internacionales de criptomonedas y que no deben permitir que se realicen transacciones con las direcciones de bitcoin proporcionadas o derivadas de ellas a través de sus plataformas comerciales.
Fuente: helpnetsecurity