Se ha observado que el actor de amenazas vinculado a Corea del Norte conocido como Lazarus Group explota una falla de seguridad crítica ahora parcheada que afecta a Zoho ManageEngine ServiceDesk Plus para distribuir un troyano de acceso remoto llamado como bastanteRAT.
Los objetivos incluyen infraestructura troncal de Internet y entidades de atención médica en Europa y EE. UU., dijo la compañía de ciberseguridad Cisco Talos en un comunicado. dos partes análisis publicado hoy.
Es más, un examen más detenido de la infraestructura de ataque reciclada del adversario en sus ciberataques a empresas ha llevado al descubrimiento de una nueva amenaza denominada ColecciónRAT.
El hecho de que el Grupo Lazarus siga dependiendo del mismo oficio a pesar de que esos componentes estén bien documentados a lo largo de los años subraya la confianza del actor de amenazas en sus operaciones, señaló Talos.
Se dice que QuiteRAT es un sucesor de MagicRAT, en sí mismo un seguimiento de TigerRAT, mientras que CollectionRAT parece compartir superposiciones con EarlyRAT (también conocido como Júpiter), un implante escrito en PureBasic con capacidades para ejecutar comandos en el terminal.
«QuiteRAT tiene muchas de las mismas capacidades que el malware MagicRAT más conocido de Lazarus Group, pero el tamaño de su archivo es significativamente más pequeño», dijeron los investigadores de seguridad Asheer Malhotra, Vitor Ventura y Jungsoo An. «Ambos implantes se basan en el marco Qt e incluyen capacidades como la ejecución de comandos arbitrarios».
El uso del marco Qt se considera un esfuerzo intencional por parte del adversario para hacer que el análisis sea mucho más desafiante ya que «aumenta la complejidad del código del malware».
La actividad, detectada a principios de 2023, implicó la explotación de CVE-2022-47966, apenas cinco días después de que apareciera en línea la prueba de concepto (Poc) de la falla, para implementar directamente el binario QuiteRAT desde una URL maliciosa.
«QuiteRAT es claramente una evolución de MagicRAT», dijeron los investigadores. «Mientras MagicRAT es una familia de malware más grande y voluminosa con un tamaño promedio de alrededor de 18 MB, QuiteRAT es una implementación mucho más pequeña, con un tamaño promedio de alrededor de 4 a 5 MB».
Otra diferencia crucial entre los dos es la falta de un mecanismo de persistencia integrado en QuiteRAT, lo que requiere que se emita un comando desde el servidor para garantizar el funcionamiento continuo en el host comprometido.
Los hallazgos también se superponen con otra campaña descubierta por WithSecure a principios de febrero en la que se utilizaron fallas de seguridad en dispositivos Zimbra sin parches para violar los sistemas de las víctimas y, en última instancia, instalar QuiteRAT.
Cisco Talos dijo que el adversario «confía cada vez más en herramientas y marcos de código abierto en la fase de acceso inicial de sus ataques, en lugar de emplearlos estrictamente en la fase posterior al compromiso».
Esto incluye el código abierto basado en GoLang. Marco DeimosC2 para obtener acceso persistente, y CollectionRAT se utiliza principalmente para recopilar metadatos, ejecutar comandos arbitrarios, administrar archivos en el sistema infectado y entregar cargas útiles adicionales.
No está claro de inmediato cómo se propaga CollectionRAT, pero la evidencia muestra que se está utilizando una copia troyanizada de la utilidad PuTTY Link (Plink) alojada en la misma infraestructura para establecer un túnel remoto al sistema y servir el malware.
«Lazarus Group anteriormente confiaba en el uso de implantes hechos a la medida como MagicRAT, VSolteroDtrack y YamaBot como un medio para establecer un acceso inicial persistente en un sistema comprometido con éxito», dijeron los investigadores.
«Estos implantes luego se instrumentan para implementar una variedad de herramientas de código abierto o de doble uso para realizar una multitud de actividades prácticas maliciosas en el teclado en la red empresarial comprometida».
Este desarrollo es una señal de que Lazarus Group está cambiando continuamente de táctica y expandiendo su arsenal malicioso, al mismo tiempo que utiliza como arma las vulnerabilidades recientemente reveladas en el software con efectos devastadores.