Lazarus Group explora falha crítica do Zoho ManageEngine para implantar o malware QuiteRAT furtivo
25 de Agosto de 2023

O ator de ameaças vinculado à Coreia do Norte conhecido como Lazarus Group tem sido observado explorando uma falha de segurança crítica, agora corrigida, que afeta o Zoho ManageEngine ServiceDesk Plus para distribuir um trojan de acesso remoto chamado QuiteRAT.

Os alvos incluem infraestrutura backbone da internet e entidades de saúde na Europa e nos EUA, disse a empresa de cibersegurança Cisco Talos em uma análise publicada hoje em duas partes.

Além disso, um exame mais detalhado da infraestrutura de ataque reciclada do adversário usada em seus assaltos cibernéticos às empresas levou à descoberta de uma nova ameaça apelidada de CollectionRAT.

O fato do Lazarus Group continuar a confiar no mesmo artesanato, apesar desses componentes serem bem documentados ao longo dos anos, destaca a confiança do ator de ameaças em suas operações, apontou a Talos.

O QuiteRAT é considerado um sucessor do MagicRAT, que por sua vez é uma continuação do TigerRAT.

Enquanto o CollectionRAT parece ter semelhanças com o EarlyRAT (também conhecido como Jupiter), um implante escrito em PureBasic com capacidades para executar comandos no endpoint.

"QuiteRAT tem muitas das mesmas capacidades do malware MagicRAT, mais conhecido do Lazarus Group, mas seu tamanho de arquivo é significativamente menor", disseram os pesquisadores de segurança Asheer Malhotra, Vitor Ventura e Jungsoo An.

"Ambos os implantes são construídos no framework Qt e incluem funcionalidades como execução arbitrária de comandos".

O uso do framework Qt é visto como um esforço intencional por parte do adversário para tornar a análise muito mais desafiadora, pois "aumenta a complexidade do código do malware".

A atividade, detectada no início de 2023, envolveu a exploração do CVE-2022-47966 , apenas cinco dias após o surgimento online do proof-of-concept (Poc) para a falha para implantar diretamente o binário QuiteRAT a partir de uma URL maliciosa.

"QuiteRAT é claramente uma evolução do MagicRAT", disseram os pesquisadores.

"Embora o MagicRAT seja uma família de malware maior e mais pesada, com uma média de cerca de 18 MB de tamanho, o QuiteRAT é uma implementação muito mais pequena, com uma média de cerca de 4 a 5 MB de tamanho".

Outra diferença crucial entre os dois é a falta de um mecanismo de persistência integrado no QuiteRAT, que exige que um comando seja emitido a partir do servidor para garantir a operação contínua no host comprometido.

As descobertas também se sobrepõem com outra campanha descoberta pela WithSecure em fevereiro desta semana, em que falhas de segurança em dispositivos Zimbra não corrigidas foram usadas para violar os sistemas das vítimas e, finalmente, instalar o QuiteRAT.

A Cisco Talos disse que o adversário está "confiando cada vez mais em ferramentas e frameworks de código aberto na fase de acesso inicial de seus ataques, em vez de estritamente empregá-los na fase pós-compromisso".

Isso inclui o uso do framework DeimosC2 de código aberto baseado em GoLang para obter acesso persistente, com o CollectionRAT sendo usado principalmente para coletar metadados, executar comandos arbitrários, gerenciar arquivos no sistema infectado e entregar payloads adicionais.

Não está imediatamente claro como o CollectionRAT é propagado, mas evidências mostram que uma cópia trojanizada da utilidade PuTTY Link (Plink) hospedada na mesma infraestrutura está sendo usada para estabelecer um túnel remoto para o sistema e servir o malware.

"O Lazarus Group anteriormente confiava no uso de implantes personalizados como MagicRAT, VSingle, Dtrack e YamaBot como meio de estabelecer acesso inicial persistente em um sistema comprometido com sucesso", disseram os pesquisadores.

"Esses implantes são então instrumentados para implantar uma variedade de ferramentas de código aberto ou de uso duplo para realizar uma infinidade de atividades maliciosas manuais em uma rede corporativa comprometida."

O desenvolvimento é um sinal de que o Lazarus Group está mudando continuamente as táticas e expandindo seu arsenal malicioso, ao mesmo tempo em que usa vulnerabilidades recém-divulgadas em softwares com efeitos devastadores.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...