Lazarus Group ha sfruttato la vulnerabilità di ManageEngine per prendere di mira le infrastrutture critiche
Gli hacker sponsorizzati dallo stato nordcoreano Lazarus Group hanno sfruttato una vulnerabilità di ManageEngine ServiceDesk (CVE-2022-47966) per prendere di mira l'infrastruttura backbone Internet e le istituzioni sanitarie in Europa e negli Stati Uniti.
Il gruppo ha sfruttato la vulnerabilità per implementare QuiteRAT, scaricato da un indirizzo IP precedentemente associato al gruppo di hacker Lazarus (noto anche come APT38).
CVE-2022-47966 è stato patchato a metà gennaio 2023 e subito dopo è stato rilasciato pubblicamente un exploit PoC e i tentativi di sfruttamento sono iniziati sul serio.
Il malware che i ricercatori di Cisco Talos hanno soprannominato QuiteRAT è un semplice trojan di accesso remoto (RAT) simile al malware MagicRAT di Lazarus Group, solo di dimensioni più piccole.
Sia MagicRAT che QuiteRAT utilizzano il framework Qt per lo sviluppo di applicazioni multipiattaforma e hanno la maggior parte delle stesse funzionalità. La differenza di dimensioni può essere attribuita al fatto che MagicRAT incorpora l'intero framework Qt mentre QuiteRAT utilizza solo un piccolo insieme di librerie Qt collegate staticamente (e parte del codice scritto dall'utente). Inoltre, QuiteRAT non dispone di funzionalità di persistenza integrate e dipende dal server C2 per fornirle.
“L’ultima versione del vecchio impianto MagicRAT di Lazarus Group osservato in natura è stata compilata nell’aprile 2022. Questa è l’ultima versione di MagicRAT di cui siamo a conoscenza. L’uso dell’impianto derivato di MagicRAT, QuiteRAT, a partire da maggio 2023 suggerisce che l’attore sta cambiando tattica, optando per un impianto più piccolo e compatto basato su Qt”, hanno affermato i ricercatori.
“Come visto con il malware MagicRAT di Lazarus Group, l'uso di Qt aumenta la complessità del codice, rendendo più difficile l'analisi umana. L’uso di Qt rende anche il rilevamento dell’apprendimento automatico e dell’analisi euristica meno affidabile, poiché Qt viene utilizzato raramente nello sviluppo di malware”.
Catena di infezione QuiteRAT. (Fonte: Talos)
Una volta eseguito e attivato, l'impianto QuiteRAT inizia a inviare informazioni preliminari sul sistema ai suoi server di comando e controllo (C2) e attende i comandi da esso. Il malware è in grado di scaricare e distribuire ulteriori payload dannosi.
Oltre a consentire ai ricercatori di associare questi ultimi attacchi a Lazarus, la propensione del gruppo per il riutilizzo dell'infrastruttura li ha aiutati a identificare altri malware utilizzati (vale a dire, CollectionRAT).
Le sue funzionalità includono l'esecuzione di comandi arbitrari, la gestione dei file dell'endpoint infetto, la raccolta di informazioni di sistema, la creazione di shell inversa, la generazione di nuovi processi che consentono il download e l'implementazione di payload aggiuntivi e, infine, la capacità di auto-eliminazione dall'endpoint compromesso ( quando diretto dal C2).
Collegamenti operativi tra i vari impianti di malware. (Fonte: Talos)
“[CollectionRAT] è costituito da un file binario Windows basato sulla libreria Microsoft Foundation Class (MFC) che decodifica ed esegue al volo il codice malware effettivo. MFC, che tradizionalmente viene utilizzato per creare interfacce utente, controlli ed eventi delle applicazioni Windows, consente a più componenti del malware di funzionare perfettamente tra loro, estraendo dagli autori le implementazioni interne del sistema operativo Windows", hanno spiegato i ricercatori.
“L’utilizzo di un framework così complesso nel malware rende l’analisi umana più complicata. Tuttavia, in CollectionRAT, il framework MFC è stato semplicemente utilizzato come wrapper/decrypter per il codice dannoso vero e proprio."
Secondo i ricercatori di Cisco Talos, il gruppo Lazarus sta leggermente modificando le tattiche di attacco. Mentre in precedenza utilizzava strumenti e framework open source come Mimikatz, PuTTY Link, Impacket e DeimosC2 solo nella fase post-compromissione degli attacchi, ora li utilizza anche nella fase iniziale.
“Oltre ai numerosi strumenti a duplice uso e ai framework post-sfruttamento presenti sull'infrastruttura di hosting di Lazarus Group, abbiamo scoperto la presenza di un nuovo impianto che abbiamo identificato come un faro del framework open source DeimosC2. Contrariamente alla maggior parte del malware trovato sulla loro infrastruttura di hosting, l’impianto DeimosC2 era un binario ELF Linux, indicando l’intenzione del gruppo di implementarlo durante l’accesso iniziale su server basati su Linux”, hanno aggiunto.