Se ha observado que el actor de amenazas vinculado a Corea del Norte conocido como Lazarus Group explota una falla de seguridad crítica ahora parcheada que afecta a Zoho ManageEngine ServiceDesk Plus para distribuir un troyano de acceso remoto llamado QuiteRAT.
Los objetivos incluyen la infraestructura troncal de Internet y entidades de atención médica en Europa y Estados Unidos, dijo la compañía de ciberseguridad Cisco Talos en un análisis de dos partes publicado el 24 de agosto.
Además, un examen más detallado de la infraestructura de ataque reciclada del adversario utilizada en sus ataques cibernéticos a las empresas ha llevado al descubrimiento de una nueva amenaza denominada CollectionRAT.
El hecho de que el Grupo Lazarus continúe confiando en el mismo oficio a pesar de que esos componentes están bien documentados a lo largo de los años subraya la confianza del actor de amenazas en sus operaciones, señaló Talos.
Se dice que QuiteRAT es un sucesor de MagicRAT, en sí mismo un seguimiento de TigerRAT, mientras que CollectionRAT parece compartir superposiciones con EarlyRAT (también conocido como Jupiter), un implante escrito en PureBasic con capacidades para ejecutar comandos en el endpoint.
“QuiteRAT tiene muchas de las mismas capacidades que el malware MagicRAT más conocido de Lazarus Group, pero su tamaño de archivo es significativamente menor”, dijeron los investigadores de seguridad Asheer Malhotra, Vitor Ventura y Jungsoo An. “Ambos implantes se basan en el marco Qt e incluyen capacidades como la ejecución arbitraria de comandos”.
El uso del marco Qt se considera un esfuerzo intencional por parte del adversario para hacer que el análisis sea mucho más desafiante, ya que “aumenta la complejidad del código del malware”.
La actividad, detectada a principios de 2023, implicó la explotación de CVE-2022-47966, apenas cinco días después de que surgiera en línea la prueba de concepto (Poc) para la falla, para implementar directamente el binario QuiteRAT desde una URL maliciosa.
“QuiteRAT es claramente una evolución de MagicRAT”, dijeron los investigadores. “Mientras que MagicRAT es una familia de malware más grande y voluminosa con un promedio de alrededor de 18 MB de tamaño, QuiteRAT es una implementación mucho más pequeña, con un promedio de alrededor de 4 a 5 MB de tamaño”.
Otra diferencia crucial entre los dos es la falta de un mecanismo de persistencia incorporado en QuiteRAT, lo que requiere que se emita un comando desde el servidor para garantizar la operación continua en el host comprometido.
Los hallazgos también se superponen con otra campaña descubierta por WithSecure a principios de febrero en la que se utilizaron fallas de seguridad en dispositivos Zimbra sin parches para vulnerar los sistemas de las víctimas y, en última instancia, instalar QuiteRAT.
Cisco Talos dijo que el adversario está “confiando cada vez más en herramientas y marcos de código abierto en la fase de acceso inicial de sus ataques, en lugar de emplearlos estrictamente en la fase posterior al compromiso”.
Esto incluye el marco DeimosC2 de código abierto basado en GoLang para obtener acceso persistente, con CollectionRAT utilizado principalmente para recopilar metadatos, ejecutar comandos arbitrarios, administrar archivos en el sistema infectado y entregar cargas útiles adicionales.
No está claro de inmediato cómo se propaga CollectionRAT, pero la evidencia muestra que se está utilizando una copia troyanizada de la utilidad PuTTY Link (Plink) alojada en la misma infraestructura para establecer un túnel remoto al sistema y servir el malware.
“Lazarus Group anteriormente se basaba en el uso de implantes personalizados como MagicRAT, VSingle, Dtrack y YamaBot como un medio para establecer un acceso inicial persistente en un sistema comprometido con éxito”, dijeron los investigadores.
“Estos implantes se instrumentan para implementar una variedad de herramientas de código abierto o de doble uso para realizar una multitud de actividades maliciosas de manos en el teclado en la red empresarial comprometida”.
El desarrollo es una señal de que el Grupo Lazarus está cambiando continuamente de táctica y expandiendo su arsenal malicioso, al mismo tiempo que arma las vulnerabilidades recientemente reveladas en el software con un efecto devastador.
