Новости От MagicRAT до CollectionRAT: революция группировки Lazarus в кибервойне

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Как уязвимость в продуктах Zoho ManageEngine открыла северокорейским хакерам золотую жилу.


mkkkbn6t7cfa2z8a6of3t8uzjs0q0z7k.jpg


Хакерская группа Lazarus из Северной Кореи активно эксплуатирует критическую уязвимость в программном обеспечении Zoho ManageEngine для атак на множество компаний из разных стран.

Вредоносная операция стартовала в начале этого года и была нацелена на компрометацию организаций в США и Великобритании с целью установки вредоносов QuiteRAT и нового трояна CollectionRAT.

Информация о CollectionRAT появилась после того, как исследователи проанализировали инфраструктуру, используемую для кампаний, которую злоумышленник использовал в том числе и для других атак.

«В начале 2023 года мы наблюдали, как Lazarus Group успешно скомпрометировала поставщика магистральной инфраструктуры Интернета в Соединённом Королевстве для успешного развёртывания QuiteRAT. Злоумышленники использовали уязвимый экземпляр ManageEngine ServiceDesk для получения начального доступа», — сообщили исследователи Cisco Talos .

Lazarus впервые применила PoC-эксплойт для уязвимости Для просмотра ссылки Войди или Зарегистрируйся , ошибки удалённого выполнения кода с предварительной аутентификацией, всего через 5 дней после Для просмотра ссылки Войди или Зарегистрируйся командой исследователей Horizon3.

Во второй половине 2022 года злоумышленники применяли в своих атаках вредонос MagicRat. Тогда весьма ощутимый для себя ущерб получили поставщики энергии в США, Канаде и Японии.

Затем, в феврале 2023 года исследователи обнаружили вредонос QuiteRAT. Он описывается как простой, но мощный троянец удалённого доступа, который, по-видимому, является крупным шагом вперёд по сравнению MagicRAT.

Для просмотра ссылки Войди или Зарегистрируйся , код QuiteRAT более компактный, чем у MagicRAT, а тщательный отбор Qt-библиотек позволил уменьшить его размер с 18 МБ всего до 4 МБ при сохранении того же набора функций.

Сегодня же Cisco Talos сообщила в Для просмотра ссылки Войди или Зарегистрируйся о новом трояне под названием CollectionRAT, который хакеры Lazarus использовали в самых последних своих атаках. Он связан с семейством EarlyRAT и обладает весьма обширными возможностями.

Функционал CollectionRAT включает выполнение произвольных команд, управление файлами, сбор системной информации, создание обратной оболочки, создание новых процессов, выборку и запуск новых полезных нагрузок и, наконец, самоудаление.

Ещё одним интересным элементом CollectionRAT является внедрение фреймворка Microsoft Foundation Class ( MFC ), который позволяет трояну расшифровывать и выполнять свой код «на лету», уклоняться от обнаружения и препятствовать анализу.

Дополнительные признаки эволюции в тактике, методах и процедурах Lazarus, которые заметил Cisco Talos, включают широкое использование инструментов и фреймворков с открытым исходным кодом, таких как Mimikatz для кражи учётных данных, PuTTY Link ( Plink ) для удалённого туннелирования и DeimosC2 для связи с управляющим сервером.

Такой подход помогает хакерам Lazarus оставлять меньше отчётливых следов и, следовательно, затрудняет определение авторства, отслеживание и разработку эффективных мер защиты.
 
Источник новости
www.securitylab.ru

Похожие темы