Tout à faitRAT
Un tristement célèbre collectif de hackers agissant au nom de la Corée du Nord a déployé une nouvelle variante de malware pour cibler les établissements de santé et les infrastructures Internet critiques en Europe et aux États-Unis. Cette souche avancée de malware, identifiée par les chercheurs sous le nom de QuiteRAT, partage de nombreuses caractéristiques avec les souches de malware précédemment observées et employées par le groupe Lazarus APT . Cependant, il possède un niveau de complexité élevé, ce qui le rend considérablement plus difficile à analyser et à contrer pour les défenseurs. De plus, au cours de la phase initiale de violation de leurs opérations, les pirates ont également exploité des outils et des cadres open source, comme le détaillent les résultats de la recherche.
Table des matières
Lazarus reste un acteur extrêmement actif dans le paysage cybercriminel
Les analystes en sécurité ont mis en lumière une série d’opérations d’attaque impliquant le groupe de piratage bien établi Lazarus, qui s’est fait connaître pour son vol présumé de cryptomonnaie évaluée à 1,7 milliard de dollars en 2022. Fait remarquable, en moins d’un an, ce groupe a été liés à trois campagnes documentées. Les opérations cybercriminelles présentent la réutilisation d’infrastructures identiques dans l’ensemble de ces opérations.
L'adoption par Lazarus d'outils open source a suscité des inquiétudes en raison de son impact sur le processus d'attribution et de l'accélération du cycle d'exploitation. En employant des outils open source, les pirates parviennent à minimiser les soupçons et à éviter la nécessité de créer des capacités à partir de zéro. Notamment, de nombreux outils open source, initialement destinés à des tâches défensives et offensives légitimes, font désormais partie des arsenaux malveillants de divers groupes cybercriminels.
Exploiter les vulnérabilités des suites logicielles d'entreprise populaires
Les incidents signalés englobent l’exploitation d’une vulnérabilité qui affecte ManageEngine ServiceDesk. La suite proposée par ManageEngine est utilisée par de nombreuses entreprises, y compris la majorité des organisations Fortune 100. Le logiciel est utilisé dans la gestion de l'infrastructure informatique, des réseaux, des serveurs, des applications, des points finaux et d'autres fonctionnalités. En janvier, la société responsable du produit a officiellement reconnu l'existence de la vulnérabilité, désignée CVE-2022-47966. Diverses sociétés de sécurité ont émis des alertes concernant son exploitation active par des acteurs malveillants.
QuiteRAT reste caché sur les appareils compromis
QuiteRAT permet aux pirates informatiques d’accumuler des informations à partir de l’appareil compromis. La menace est également équipée d'une fonction qui lui permet d'entrer en mode « veille » pendant des durées prédéfinies, facilitant ainsi la dissimulation de sa présence au sein d'un réseau compromis.
Comparé à son prédécesseur, MagicRAT, dévoilé par les hackers de Lazarus en avril 2022, QuiteRAT présente une taille nettement plus petite. Il ne mesure que 4 à 5 Mo, principalement en raison de l'omission des capacités de persistance inhérentes au réseau piraté. En conséquence, les pirates doivent ensuite introduire une fonctionnalité de persistance distincte.
Les ressemblances entre les implants suggèrent que QuiteRAT est issu de la lignée de MagicRAT . Au-delà de leur dépendance commune à l'égard du framework Qt, les deux menaces présentent des fonctionnalités similaires, notamment l'exécution de commandes arbitraires sur le système infecté.
En conjonction avec leur logiciel malveillant QuiteRAT, les chercheurs ont observé que le groupe Lazarus employait une autre menace jusqu'alors inconnue, baptisée « CollectionRAT ». Ce malware présente des capacités standard de cheval de Troie d'accès à distance (RAT), lui permettant d'exécuter des commandes arbitraires sur les systèmes compromis.
