據觀察,與北韓有關的駭客集團Lazarus利用Zoho ManageEngine ServiceDesk Plus的漏洞CVE-2022-47966,派發QuiteRAT的遠端存取木馬。
思科Cisco Talos發布報告表示,該組織的攻擊目標包括歐洲和美國的網路骨幹基礎設施和醫療機構。更重要的是,研究人員發現名為CollectionRAT的新威脅軟體。Talos指出,即使這些攻擊工具多年來被充分記錄,但Lazarus仍然依賴於相同的間諜技術,凸顯了威脅行為者對其行動的信心。
據了解,QuiteRAT是MagicRAT的後繼產品,MagicRAT本身是TigerRAT的後續產品,而CollectionRAT似乎與EarlyRAT(又名Jupiter)有重疊之處。EarlyRAT是一種用PureBasic編寫的惡意程式,具有在端點上運行命令的能力。
安全研究人員表示,QuiteRAT與惡意軟體MagicRAT具備許多相同功能,但檔案小很多,平均大小約為4到5MB。這兩個程式都是基於Qt框架,並有任意命令執行的功能。
使用Qt框架被認為是攻擊者的刻意行為,讓攻擊分析更具挑戰性,因為Qt框架增加了惡意軟體程式碼的複雜性。
此項攻擊活動於2023年初檢測到,利用CVE-2022-47966漏洞。在CVE-2022-47966概念驗證(Poc)上線僅五天,駭客就直接從惡意URL佈署QuiteRAT二進位檔案。
持久化機制
兩者之間的另一個關鍵差異是QuiteRAT中缺乏內置的持久化機制,因此必須從伺服器發出命令,以確保軟體在受損主機上繼續運行。
這一發現也與WithSecure在今年2月發現的另一個行為重疊。在那次駭客活動中,未修補的Zimbra設備安全性漏洞被用來入侵受害者系統,並最終安裝QuiteRAT。
思科Talos表示,攻擊者在攻擊的初始訪問階段越來越依賴於開源工具和框架,而不是在入侵後階段使用。
這包括基於GoLang的開源DeimosC2框架,目的是獲得持久訪問,CollectionRAT主要用於收集中繼資料、運行任意命令、管理受感染系統上的檔,並提供額外的有效負載。
目前還不清楚CollectionRAT是如何傳播的。但有證據表明,託管在同一基礎設施上的PuTTY Link (Plink)木馬副本被用來建立遠端隧道並為惡意軟體提供服務。
研究人員表示,Lazarus之前依賴於使用定制的惡意軟體組件,如MagicRAT、VSingle、Dtrack和YamaBot,在成功入侵的系統上建立持久初始訪問的手段。然後,這些組件被用來佈署各種開源或兩用工具,在受感染的企業網路中執行大量惡意的鍵盤操作活動。
這一事態發展表明,Lazarus正在改變策略,擴大其惡意武器庫,同時將新披露的軟體漏洞武器化,造成毀滅性的影響。
本文圖轉載自TheHackerNews。