Se ha observado que el actor de amenazas vinculado a Corea del Norte conocido como Lazarus Group explota una falla de seguridad cr\u00edtica ahora parcheada que afecta a Zoho ManageEngine ServiceDesk Plus para distribuir un troyano de acceso remoto llamado como bastanteRAT<\/strong>.<\/p>\n Los objetivos incluyen infraestructura troncal de Internet y entidades de atenci\u00f3n m\u00e9dica en Europa y EE. UU., dijo la compa\u00f1\u00eda de ciberseguridad Cisco Talos en un comunicado. dos partes<\/a> an\u00e1lisis<\/a> publicado hoy.<\/p>\n Es m\u00e1s, un examen m\u00e1s detenido de la infraestructura de ataque reciclada del adversario en sus ciberataques a empresas ha llevado al descubrimiento de una nueva amenaza denominada Colecci\u00f3nRAT<\/strong>.<\/p>\n El hecho de que el Grupo Lazarus siga dependiendo del mismo oficio a pesar de que esos componentes est\u00e9n bien documentados a lo largo de los a\u00f1os subraya la confianza del actor de amenazas en sus operaciones, se\u00f1al\u00f3 Talos.<\/p>\n Se dice que QuiteRAT es un sucesor de MagicRAT, en s\u00ed mismo un seguimiento de TigerRAT, mientras que CollectionRAT parece compartir superposiciones con EarlyRAT (tambi\u00e9n conocido como J\u00fapiter<\/a>), un implante escrito en PureBasic con capacidades para ejecutar comandos en el terminal.<\/p>\n “QuiteRAT tiene muchas de las mismas capacidades que el malware MagicRAT m\u00e1s conocido de Lazarus Group, pero el tama\u00f1o de su archivo es significativamente m\u00e1s peque\u00f1o”, dijeron los investigadores de seguridad Asheer Malhotra, Vitor Ventura y Jungsoo An. “Ambos implantes se basan en el marco Qt e incluyen capacidades como la ejecuci\u00f3n de comandos arbitrarios”.<\/p>\n El uso del marco Qt se considera un esfuerzo intencional por parte del adversario para hacer que el an\u00e1lisis sea mucho m\u00e1s desafiante ya que “aumenta la complejidad del c\u00f3digo del malware”.<\/p>\n La actividad, detectada a principios de 2023, implic\u00f3 la explotaci\u00f3n de CVE-2022-47966, apenas cinco d\u00edas despu\u00e9s de que apareciera en l\u00ednea la prueba de concepto (Poc) de la falla, para implementar directamente el binario QuiteRAT desde una URL maliciosa.<\/p>\n “QuiteRAT es claramente una evoluci\u00f3n de MagicRAT”, dijeron los investigadores. “Mientras MagicRAT es una familia de malware m\u00e1s grande y voluminosa con un tama\u00f1o promedio de alrededor de 18 MB, QuiteRAT es una implementaci\u00f3n mucho m\u00e1s peque\u00f1a, con un tama\u00f1o promedio de alrededor de 4 a 5 MB”.<\/p>\n Otra diferencia crucial entre los dos es la falta de un mecanismo de persistencia integrado en QuiteRAT, lo que requiere que se emita un comando desde el servidor para garantizar el funcionamiento continuo en el host comprometido.<\/p>\n Los hallazgos tambi\u00e9n se superponen con otra campa\u00f1a descubierta por WithSecure a principios de febrero en la que se utilizaron fallas de seguridad en dispositivos Zimbra sin parches para violar los sistemas de las v\u00edctimas y, en \u00faltima instancia, instalar QuiteRAT.<\/p>\n Cisco Talos dijo que el adversario “conf\u00eda cada vez m\u00e1s en herramientas y marcos de c\u00f3digo abierto en la fase de acceso inicial de sus ataques, en lugar de emplearlos estrictamente en la fase posterior al compromiso”.<\/p>\n Esto incluye el c\u00f3digo abierto basado en GoLang. Marco DeimosC2<\/a> para obtener acceso persistente, y CollectionRAT se utiliza principalmente para recopilar metadatos, ejecutar comandos arbitrarios, administrar archivos en el sistema infectado y entregar cargas \u00fatiles adicionales.<\/p>\n No est\u00e1 claro de inmediato c\u00f3mo se propaga CollectionRAT, pero la evidencia muestra que se est\u00e1 utilizando una copia troyanizada de la utilidad PuTTY Link (Plink) alojada en la misma infraestructura para establecer un t\u00fanel remoto al sistema y servir el malware.<\/p>\n “Lazarus Group anteriormente confiaba en el uso de implantes hechos a la medida como MagicRAT, VSoltero<\/a>Dtrack y YamaBot como un medio para establecer un acceso inicial persistente en un sistema comprometido con \u00e9xito”, dijeron los investigadores.<\/p>\n “Estos implantes luego se instrumentan para implementar una variedad de herramientas de c\u00f3digo abierto o de doble uso para realizar una multitud de actividades pr\u00e1cticas maliciosas en el teclado en la red empresarial comprometida”.<\/p>\n Este desarrollo es una se\u00f1al de que Lazarus Group est\u00e1 cambiando continuamente de t\u00e1ctica y expandiendo su arsenal malicioso, al mismo tiempo que utiliza como arma las vulnerabilidades recientemente reveladas en el software con efectos devastadores.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Microsoft-Addresses-Critical-Power-Platform-Flaw-After-Delays-and-Criticism.png\")
<\/a><\/center><\/section>\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1692899413_643_Lazarus-Group-aprovecha-la-falla-critica-de-Zoho-ManageEngine-para.jpg\" "\\"Software")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\")
<\/a><\/center><\/section>\n![\"Software](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj5ff88yXzGMy4WDstedRz1nzN2qGtmXxEL3F42QhWYpuaFVGegG3BvZu99EcJXDhhFggRJn9v8KKoxk2mNzKh0gJZzRvtH746zgmV4JRAmuAIXKmSpbrX8ZZoL6yFeVAL87onCiuN55YwpCf_MBEcC_Px0SBvaPufs7vQLLJMh3Gml30KwKLohoOCNg5lJ\/s728-e3650\/l1.jpg\" "\\"Software")
<\/div>\n