O Grupo Lazarus explorou a vulnerabilidade do ManageEngine para atingir infraestrutura crítica

Views: 182
0 0
Read Time:4 Minute, 0 Second

Os hackers patrocinados pelo Estado norte-coreano Lazarus Group têm explorado uma vulnerabilidade do ManageEngine ServiceDesk (CVE-2022-47966) para atingir a infraestrutura de backbone da Internet e instituições de saúde na Europa e nos EUA.

O grupo aproveitou a vulnerabilidade para implantar o QuiteRAT, baixado de um endereço IP anteriormente associado ao grupo de hackers Lazarus (também conhecido como APT38).

BastanteRAT

CVE-2022-47966 foi corrigido em meados de janeiro de 2023, e logo depois uma exploração PoC para ele foi lançada publicamente e as tentativas de exploração começaram para valer.

O malware que os pesquisadores do Cisco Talos apelidaram de QuiteRAT é um trojan de acesso remoto simples (RAT) semelhante ao malware MagicRAT do Lazarus Group, só que menor em tamanho.

Tanto MagicRAT quanto QuiteRAT usam a estrutura Qt para desenvolver aplicativos multiplataforma e possuem quase os mesmos recursos. A diferença de tamanho pode ser atribuída ao MagicRAT incorporando toda a estrutura Qt, enquanto QuiteRAT usa um pequeno conjunto de bibliotecas Qt estaticamente vinculadas (e algum código escrito pelo usuário). Além disso, o QuiteRAT não possui recursos de persistência integrados e depende do servidor C2 para fornecê-los.

“A versão mais recente do implante MagicRAT mais antigo do Grupo Lazarus observado na natureza foi compilada em abril de 2022. Esta é a última versão do MagicRAT que conhecemos. O uso do implante derivado do MagicRAT, QuiteRAT, a partir de maio de 2023 sugere que o ator está mudando de tática, optando por um implante menor e mais compacto baseado em Qt”, disseram os pesquisadores .

“Como visto no malware MagicRAT do Lazarus Group, o uso do Qt aumenta a complexidade do código, dificultando a análise humana. O uso do Qt também torna o aprendizado de máquina e a detecção de análise heurística menos confiáveis, uma vez que o Qt raramente é usado no desenvolvimento de malware.”

Grupo Lazarus ManageEngine
Cadeia de infecção QuiteRAT. (Fonte: Talos)

Uma vez executado e ativado, o implante QuiteRAT começa a enviar informações preliminares do sistema para seus servidores de comando e controle (C2) e aguarda comandos dele. O malware é capaz de baixar e implantar cargas maliciosas adicionais.

CollectionRAT: Mais uma arma do arsenal do grupo

Além de permitir que os pesquisadores associassem esses ataques mais recentes ao Lazarus, a propensão do grupo para a reutilização de infraestrutura os ajudou a identificar outros malwares que usam (ou seja, CollectionRAT).

Seus recursos incluem execução arbitrária de comandos, gerenciamento de arquivos do endpoint infectado, coleta de informações do sistema, criação reversa de shell, geração de novos processos que permitem o download e implantação de cargas adicionais e, finalmente, a capacidade de autoexclusão do endpoint comprometido ( quando dirigido pelo C2).

Grupo Lazarus ManageEngine
Links operacionais entre os vários implantes de malware. (Fonte: Talos)

“[CollectionRAT] consiste em um binário do Windows baseado em biblioteca Microsoft Foundation Class (MFC) compactado que descriptografa e executa o código de malware real em tempo real. O MFC, que tradicionalmente é usado para criar interfaces de usuário, controles e eventos de aplicativos Windows, permite que vários componentes de malware funcionem perfeitamente uns com os outros, enquanto abstrai as implementações internas do sistema operacional Windows dos autores”, explicaram os pesquisadores.

“Usar uma estrutura tão complexa em malware torna a análise humana mais complicada. No entanto, no CollectionRAT, a estrutura MFC acaba de ser usada como um wrapper/descriptografador para o código malicioso real.”

Táticas e alvos do Grupo Lazarus

De acordo com os pesquisadores do Cisco Talos, o Grupo Lazarus está mudando ligeiramente as táticas de ataque. Embora anteriormente usasse ferramentas e estruturas de código aberto como Mimikatz, PuTTY Link, Impacket e DeimosC2 apenas na fase pós-comprometimento dos ataques, agora também as utiliza na fase inicial.

“Além das muitas ferramentas de dupla utilização e estruturas pós-exploração encontradas na infraestrutura de hospedagem do Grupo Lazarus, descobrimos a presença de um novo implante que identificamos como um farol da estrutura de código aberto DeimosC2. Ao contrário da maioria dos malwares encontrados em sua infraestrutura de hospedagem, o implante DeimosC2 era um binário Linux ELF, indicando a intenção do grupo de implantá-lo durante o acesso inicial em servidores baseados em Linux”, acrescentaram.

O Grupo Lazarus é conhecido por montar ataques cibernéticos com motivação financeira e de ciberespionagem , destinados a promover os objetivos políticos da Coreia do Norte e a roubar criptomoedas necessárias para financiar os vários esforços do país.

Na terça-feira, o FBI alertou as empresas de criptomoedas de que atores afiliados ao Grupo Lazarus estão tentando sacar US$ 40 milhões de dólares em bitcoins roubados em assaltos internacionais de criptomoedas e que não devem permitir que transações com ou derivadas dos endereços de bitcoin fornecidos sejam efetuadas. através de suas plataformas de negociação.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS