朝鲜政府拥有的黑客组织正在使用一种新型恶意软件攻击欧洲和美国的医疗实体和互联网骨干基础设施。思科塔洛斯公司(CiscoTalos)的安全研究人员发布了两份报告,概述了长期存在的拉扎罗斯(Lazarus)黑客组织的一系列事件,该组织因涉嫌在2022年窃取价值17亿美元的加密货币而成为头条新闻。
研究人员解释说:"这是在不到一年的时间里发生的第三起记录在案的行动,在这些行动中,该行动者重复使用了相同的基础设施,"他们补充说,这些事件涉及利用影响ManageEngineServiceDesk的漏洞。报告没有指明黑客攻击活动的具体目标。
据该公司称,ManageEngine套件被数百家企业(包括每10家财富100强企业中的9家)用于IT基础设施、网络、服务器、应用程序、端点等。今年1月,该产品背后的公司宣布了这一漏洞(编入CVE-2022-47966目录),安全公司警告说,黑客正在利用这一漏洞。
思科塔洛斯(CiscoTalos)称,攻击者从2月份开始利用该漏洞部署一种更新、更复杂的恶意软件,研究人员将其追踪为QuiteRAT,它与Lazarus使用的其他恶意软件有许多相同的功能,但防御者更难检查和捕获。研究人员称,在攻击的初始访问阶段,黑客还使用了开源工具和框架。
该恶意软件允许黑客收集有关受感染设备的数据,它还有一个功能,可以在预定时间内"休眠",使其在被入侵的网络中保持休眠状态。
QuiteRAT比其前身MagicRAT小得多,Lazarus黑客于2022年4月首次公布了MagicRAT。QuiteRAT的大小只有4到5MB,部分原因是它不具备在受害网络上持续运行的能力。思科塔洛斯公司说,黑客必须在事后推送单独的持久能力。
"植入程序之间存在相似之处,表明QuiteRAT是MagicRAT的衍生产品。"研究人员说:"除了基于Qt框架之外,这两种植入程序还具有相同的能力,包括在受感染系统上运行任意命令。CollectionRAT具有标准的远程访问木马(RAT)功能,包括在受感染系统上运行任意命令的能力。"
CiscoTalos将CollectionRAT与LazarusGroup内部一个名为Andariel的部门联系起来。研究人员发现多种迹象表明,黑客们正在"改变战术",并在改进他们的伎俩时越来越依赖开源工具。
研究人员说,该组织越来越肆无忌惮,而且似乎并不在意重复使用全球许多安全公司和政府发现的相同基础设施、战术、技术和程序。
思科塔洛斯公司(CiscoTalos)指出,这是该公司去年追踪到的第三次"Lazarus"行动,其中包括去年9月涉及美国、加拿大和日本能源供应商的事件。
几位网络安全专家说,使用开源工具令人担忧,因为它混淆了归属,使利用过程变得更快。
CriticalStart公司的网络威胁研究高级经理CallieGuenther说,使用开源工具可以让黑客们少举红旗,跳过从头开始开发能力的过程。
Guenther解释说,许多用于合法防御和进攻任务的开源工具也有已知的成功率,并由安全社区成员不断改进,因此适应性更强。
VulcanCyber联合创始人亚尼夫-巴尔-达扬(YanivBar-Dayan)说,入侵系统管理软件和使用基于开源工具的恶意软件是"一举两得"的事。他说:"像ManageEngine这样的系统管理工具可以前所未有地访问企业的基础设施,而开源软件在软件供应链中无处不在。"
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】