Ziemlich RAT
Ein berüchtigtes Hacker-Kollektiv, das im Auftrag Nordkoreas handelt, hat eine neuartige Malware-Variante eingesetzt, um Gesundheitsorganisationen und kritische Internet-Infrastrukturen in Europa und den Vereinigten Staaten anzugreifen. Dieser von Forschern als QuiteRAT identifizierte fortschrittliche Malware-Stamm hat zahlreiche Merkmale mit zuvor beobachteten Malware-Stämmen gemeinsam, die von der Lazarus APT -Gruppe eingesetzt werden. Die Komplexität ist jedoch höher, was es für Verteidiger deutlich schwieriger macht, sie zu analysieren und Gegenmaßnahmen zu ergreifen. Darüber hinaus nutzten die Hacker in der ersten Phase ihrer Sicherheitsverletzungen auch Open-Source-Tools und -Frameworks, wie aus den Forschungsergebnissen hervorgeht.
Inhaltsverzeichnis
Lazarus bleibt ein äußerst aktiver Akteur in der Cyberkriminalitätslandschaft
Sicherheitsanalysten haben eine Reihe von Angriffsoperationen ans Licht gebracht, an denen die etablierte Hackergruppe Lazarus beteiligt war, die durch ihren mutmaßlichen Diebstahl von Kryptowährungen im Wert von 1,7 Milliarden US-Dollar im Jahr 2022 Berühmtheit erlangte. Bemerkenswerterweise gelang dieser Gruppe dies innerhalb von weniger als einem Jahr wurde mit drei dokumentierten Kampagnen in Verbindung gebracht. Die cyberkriminellen Vorgänge weisen die Wiederverwendung identischer Infrastruktur bei diesen Vorgängen auf.
Die Einführung von Open-Source-Tools durch Lazarus hat aufgrund ihrer Auswirkungen auf den Attributionsprozess und der Beschleunigung des Verwertungszyklus Anlass zur Sorge gegeben. Durch den Einsatz von Open-Source-Tools gelingt es den Hackern, den Verdacht zu minimieren und die Notwendigkeit zu umgehen, Funktionen von Grund auf neu zu entwickeln. Bemerkenswert ist, dass zahlreiche Open-Source-Tools, die ursprünglich für legitime Verteidigungs- und Angriffsaufgaben gedacht waren, Teil der bösartigen Arsenale verschiedener Cyberkriminalitätsgruppen geworden sind.
Ausnutzung von Schwachstellen in der beliebten Business-Software-Suite
Bei den gemeldeten Vorfällen handelt es sich um die Ausnutzung einer Schwachstelle, die sich auf ManageEngine ServiceDesk auswirkt. Die von ManageEngine angebotene Suite wird von zahlreichen Unternehmen genutzt, darunter auch von den meisten Fortune-100-Unternehmen. Die Software wird zur Verwaltung von IT-Infrastruktur, Netzwerken, Servern, Anwendungen, Endpunkten und anderen Funktionalitäten eingesetzt. Im Januar bestätigte das für das Produkt verantwortliche Unternehmen offiziell die Existenz der Sicherheitslücke mit der Bezeichnung CVE-2022-47966. Verschiedene Sicherheitsfirmen haben Warnungen vor der aktiven Ausnutzung durch böswillige Akteure herausgegeben.
QuiteRAT bleibt auf kompromittierten Geräten verborgen
QuiteRAT ermöglicht es den Hackern, Informationen vom kompromittierten Gerät zu sammeln. Die Bedrohung ist außerdem mit einer Funktion ausgestattet, die es ihr ermöglicht, für vordefinierte Zeiträume in einen „Schlafmodus“ zu wechseln, wodurch ihre Präsenz in einem kompromittierten Netzwerk leichter verborgen werden kann.
Im Vergleich zu seinem Vorgänger MagicRAT, den die Lazarus-Hacker im April 2022 vorgestellt haben, ist QuiteRAT deutlich kleiner. Es misst lediglich 4 bis 5 MB, was vor allem auf das Fehlen inhärenter Persistenzfähigkeiten innerhalb des angegriffenen Netzwerks zurückzuführen ist. Daher müssen die Hacker nachträglich eine separate Persistenzfunktion einführen.
Ähnlichkeiten zwischen den Implantaten lassen darauf schließen, dass QuiteRAT aus der Abstammungslinie von MagicRAT stammt. Über ihre gemeinsame Abhängigkeit vom Qt-Framework hinaus weisen beide Bedrohungen ähnliche Funktionalitäten auf, einschließlich der Ausführung willkürlicher Befehle auf dem infizierten System.
Im Zusammenhang mit ihrer QuiteRAT-Malware haben Forscher beobachtet, dass die Lazarus-Gruppe eine weitere bisher unbekannte Bedrohung namens „CollectionRAT“ einsetzt. Diese Malware verfügt über standardmäßige RAT-Funktionen (Remote Access Trojan), die es ihr ermöglichen, beliebige Befehle auf den gefährdeten Systemen auszuführen.
