かなりRAT
北朝鮮に代わって活動する悪名高いハッキング集団が、欧州と米国の医療機関や重要なインターネットインフラを標的とする新たな亜種のマルウェアを展開した。研究者によって QuiteRAT として特定されたこの高度なマルウェア株は、 Lazarus APTグループが使用していた以前に観察されたマルウェア株と多くの特徴を共有しています。ただし、高度な複雑性を備えているため、防御側が分析して対抗するのはかなり困難になります。さらに、調査結果で詳述されているように、ハッカーは作戦の初期侵害段階でオープンソースのツールやフレームワークも利用していました。
目次
Lazarus は依然としてサイバー犯罪界で非常に活発な活動家である
セキュリティアナリストらは、2022年に17億ドル相当の仮想通貨を盗んだ疑いで悪名を馳せた老舗ハッカーグループ「Lazarus」が関与した一連の攻撃活動を明らかにした。驚くべきことに、このグループは1年未満の間に、文書化された 3 つのキャンペーンにリンクされています。サイバー犯罪活動では、これらの活動全体で同一のインフラストラクチャが再利用されています。
Lazarus によるオープンソース ツールの採用は、アトリビューション プロセスと悪用サイクルの加速への影響により懸念を引き起こしています。オープンソース ツールを採用することで、ハッカーは疑惑を最小限に抑え、機能をゼロから構築する必要性を回避します。特に、当初は正当な防御および攻撃的なタスクを目的とした多数のオープンソース ツールが、さまざまなサイバー犯罪グループの悪意のある武器庫の一部となっています。
人気のビジネス ソフトウェア スイートの脆弱性の悪用
報告されたインシデントには、ManageEngine ServiceDesk に影響を与える脆弱性の悪用が含まれています。 ManageEngine が提供するスイートは、Fortune 100 企業の大部分を含む多数の企業で利用されています。このソフトウェアは、IT インフラストラクチャ、ネットワーク、サーバー、アプリケーション、エンドポイント、その他の機能の管理に利用されます。 1 月に、この製品を担当する企業は、CVE-2022-47966 として指定される脆弱性の存在を正式に認めました。さまざまなセキュリティ会社が、悪意のある攻撃者による積極的な悪用について警告を発しています。
QuiteRAT は侵害されたデバイス上で隠蔽されたままになる
QuiteRAT を使用すると、ハッカーは侵害されたデバイスから情報を収集できます。この脅威には、事前に定義された期間「スリープ」モードに入る機能も搭載されており、侵害されたネットワーク内での存在の隠蔽が容易になります。
2022 年 4 月に Lazarus ハッカーによって公開された前身である MagicRAT と比較すると、QuiteRAT は著しく小さいサイズを誇っています。主に侵害されたネットワーク内に固有の永続化機能が欠落しているため、そのサイズはわずか 4 ~ 5 MB にすぎません。その結果、ハッカーはその後、別の永続化機能を導入する必要があります。
インプラント間の類似性は、QuiteRAT がMagicRATの系統に由来していることを示唆しています。 Qt フレームワークへの共通の依存を超えて、両方の脅威は、感染したシステム上で任意のコマンドを実行するなど、同様の機能を示します。
研究者らは、Lazarus Group が QuiteRAT マルウェアと併せて、「CollectionRAT」と呼ばれるこれまで知られていなかった別の脅威を使用していることを観察しました。このマルウェアは標準的なリモート アクセス トロイの木馬 (RAT) 機能を示し、侵害されたシステム上で任意のコマンドを実行できます。
