BastanteRAT
Un infame colectivo de hackers que actúa en nombre de Corea del Norte ha desplegado una novedosa variante de malware para atacar a organizaciones sanitarias e infraestructuras críticas de Internet en Europa y Estados Unidos. Esta cepa avanzada de malware, identificada por los investigadores como QuiteRAT, comparte numerosas características con cepas de malware observadas anteriormente y empleadas por el grupo Lazarus APT . Sin embargo, posee un nivel elevado de complejidad, lo que hace que sea considerablemente más difícil de analizar y contrarrestar para los defensores. Además, durante la etapa inicial de infracción de sus operaciones, los piratas informáticos también aprovecharon herramientas y marcos de código abierto, como se detalla en los hallazgos de la investigación.
Tabla de contenido
Lazarus sigue siendo un actor extremadamente activo en el panorama cibercriminal
Los analistas de seguridad han sacado a la luz una serie de operaciones de ataque que involucran al consolidado grupo de hackers Lazarus, que ganó notoriedad por su presunto robo de criptomonedas valoradas en 1.700 millones de dólares en 2022. Sorprendentemente, en un lapso de menos de un año, este grupo ha vinculado a tres campañas documentadas. Las operaciones de ciberdelincuentes exhiben la reutilización de infraestructura idéntica en todas estas operaciones.
La adopción de herramientas de código abierto por parte de Lazarus ha generado preocupación debido a su impacto en el proceso de atribución y la aceleración del ciclo de explotación. Al emplear herramientas de código abierto, los piratas informáticos logran minimizar las sospechas y eludir la necesidad de crear capacidades desde cero. En particular, numerosas herramientas de código abierto, originalmente destinadas a tareas defensivas y ofensivas legítimas, se han convertido en parte de los arsenales maliciosos de varios grupos cibercriminales.
Explotación de vulnerabilidades en el popular paquete de software empresarial
Los incidentes reportados abarcan la explotación de una vulnerabilidad que afecta a ManageEngine ServiceDesk. La suite ofrecida por ManageEngine se utiliza en numerosas empresas, incluida la mayoría de las organizaciones Fortune 100. El software se utiliza para gestionar la infraestructura de TI, redes, servidores, aplicaciones, puntos finales y otras funcionalidades. En enero, la empresa responsable del producto reconoció oficialmente la existencia de la vulnerabilidad, denominada CVE-2022-47966. Varias empresas de seguridad han emitido alertas sobre su explotación activa por parte de actores maliciosos.
QuiteRAT permanece oculto en dispositivos comprometidos
QuiteRAT permite a los piratas informáticos recopilar información del dispositivo comprometido. La amenaza también está equipada con una función que le permite entrar en modo de "suspensión" durante períodos predefinidos, facilitando el ocultamiento de su presencia dentro de una red comprometida.
En comparación con su predecesor, MagicRAT, presentado por los hackers de Lazarus en abril de 2022, QuiteRAT cuenta con un tamaño notablemente más pequeño. Mide apenas de 4 a 5 MB, principalmente debido a la omisión de capacidades de persistencia inherentes dentro de la red atacada. Como resultado, los piratas informáticos deben introducir posteriormente una función de persistencia independiente.
Las semejanzas entre los implantes sugieren que QuiteRAT proviene del linaje de MagicRAT . Más allá de su dependencia compartida del marco Qt, ambas amenazas exhiben funcionalidades similares, incluida la ejecución de comandos arbitrarios en el sistema infectado.
Junto con su malware QuiteRAT, los investigadores han observado que el Grupo Lazarus emplea otra amenaza previamente desconocida denominada 'CollectionRAT'. Este malware exhibe capacidades estándar de troyano de acceso remoto (RAT), lo que le permite ejecutar comandos arbitrarios en los sistemas comprometidos.
