Lazarus Group использовала уязвимость ManageEngine для атаки на критическую инфраструктуру
Хакеры Lazarus Group, спонсируемые государством Северной Кореи, использовали уязвимость ManageEngine ServiceDesk (CVE-2022-47966) для атак на магистральную инфраструктуру Интернета и медицинские учреждения в Европе и США.
Группа воспользовалась уязвимостью для развертывания QuiteRAT, загруженного с IP-адреса, ранее связанного с хакерской группой Lazarus (также известной как APT38).
CVE-2022-47966 был исправлен в середине января 2023 года, и вскоре после того, как PoC-эксплойт для него был публично выпущен, попытки эксплуатации начались всерьез.
Вредоносное ПО, названное исследователями Cisco Talos QuiteRAT, представляет собой простой троян удаленного доступа (RAT), похожий на вредоносное ПО MagicRAT от Lazarus Group, только меньшего размера.
И MagicRAT, и QuiteRAT используют платформу Qt для разработки кроссплатформенных приложений и имеют практически одинаковые возможности. Разницу в размере можно объяснить тем, что MagicRAT включает в себя всю структуру Qt, тогда как QuiteRAT использует лишь небольшой набор статически связанных библиотек Qt (и некоторый код, написанный пользователем). Кроме того, в QuiteRAT отсутствуют встроенные возможности сохранения данных, и их предоставление зависит от сервера C2.
«Последняя версия старого имплантата MagicRAT от Lazarus Group, наблюдаемого в дикой природе, была скомпилирована в апреле 2022 года. Это последняя известная нам версия MagicRAT. Использование производного имплантата MagicRAT, QuiteRAT, начиная с мая 2023 года, предполагает, что игрок меняет тактику, выбирая меньший по размеру и более компактный имплант на основе Qt», — заявили исследователи.
«Как видно на примере вредоносного ПО MagicRAT от Lazarus Group, использование Qt увеличивает сложность кода, что затрудняет человеческий анализ. Использование Qt также делает обнаружение машинного обучения и эвристического анализа менее надежным, поскольку Qt редко используется при разработке вредоносных программ».
Вполне RAT-цепочка заражения. (Источник: Талос)
После запуска и активации имплант QuiteRAT начинает отправлять предварительную системную информацию на свои серверы управления и контроля (C2) и ожидает от него команд. Вредоносное ПО способно загружать и развертывать дополнительные вредоносные полезные нагрузки.
Склонность группы к повторному использованию инфраструктуры не только позволила исследователям связать эти последние атаки с Lazarus, но и помогла им идентифицировать другие вредоносные программы, которые они используют (а именно, CollectionRAT).
Его возможности включают в себя выполнение произвольных команд, управление файлами зараженной конечной точки, сбор системной информации, создание обратной оболочки, создание новых процессов, позволяющих загружать и развертывание дополнительных полезных данных, и, наконец, возможность самостоятельного удаления со скомпрометированной конечной точки ( по указанию C2).
Оперативные связи между различными имплантатами вредоносного ПО. (Источник: Талос)
«[CollectionRAT] состоит из упакованного двоичного файла Windows на основе библиотеки Microsoft Foundation Class (MFC), который расшифровывает и выполняет реальный код вредоносного ПО на лету. MFC, который традиционно используется для создания пользовательских интерфейсов, элементов управления и событий приложений Windows, позволяет множеству компонентов вредоносного ПО беспрепятственно работать друг с другом, абстрагируя при этом внутренние реализации ОС Windows от авторов», — пояснили исследователи.
«Использование такой сложной структуры во вредоносном ПО делает человеческий анализ более громоздким. Однако в CollectionRAT платформа MFC всего лишь использовалась в качестве оболочки/расшифровщика реального вредоносного кода».
По мнению исследователей Cisco Talos, Lazarus Group немного меняет тактику атак. Раньше он использовал инструменты и платформы с открытым исходным кодом, такие как Mimikatz, PuTTY Link, Impacket и DeimosC2, только на этапе атак после компрометации, теперь он также использует их и на начальном этапе.
«Помимо множества инструментов двойного назначения и фреймворков пост-эксплуатации, обнаруженных в хостинговой инфраструктуре Lazarus Group, мы обнаружили наличие нового имплантата, который мы идентифицировали как маяк из фреймворка DeimosC2 с открытым исходным кодом. В отличие от большинства вредоносных программ, обнаруженных в их хостинговой инфраструктуре, имплант DeimosC2 представлял собой двоичный файл Linux ELF, что указывает на намерение группы развернуть его во время первоначального доступа на серверах на базе Linux», — добавили они.