Группа Лазарь, хакерский коллектив, связанный с правительством Северной Кореи, был замечен в атаках на ключевую интернет-инфраструктуру и медицинские организации в США и Европе. Исследователи из команды безопасности Talos компании Cisco обнаружили новое вредоносное программное обеспечение, развертываемое этой группой, которое получило название QuiteRAT. Хакеры используют известную уязвимость в ManageEngine ServiceDesk для первоначального доступа к системам. Попав внутрь, они используют процесс выполнения Java для загрузки и выполнения двоичного файла, что приводит к развертыванию QuiteRAT.
Что выделяет QuiteRAT, так это его небольшой размер файла и программная платформа, на которой он написан — Qt. Он значительно меньше (около 5 МБ) по сравнению с предыдущим вредоносным ПО группы Лазарь, MagicRAT (18 МБ), что делает его труднее для обнаружения. QuiteRAT может выполнять произвольные команды на зараженной машине, записывать базовые детали, такие как MAC- и IP-адреса, и оставаться в спящем режиме на продолжительные периоды времени до повторной активации.
Команда Talos от Cisco считает, что QuiteRAT является эволюционной формой MagicRAT, которое последний раз обновлялось в апреле 2022 года. Оба вредоносных ПО имеют схожие характеристики, включая возможность выполнения произвольных команд и использование кодировки base64 для обфускации их строк. У них также есть похожая функциональность, позволяющая оставаться в спящем режиме на указанные периоды времени.
Группа Лазарь активна как минимум с 2009 года и известна своей деятельностью в области шпионажа и кражи криптовалюты. Появление QuiteRAT указывает на продолжающуюся эволюцию кибервозможностей группы, вызывая опасения о ее потенциальном влиянии на критическую инфраструктуру и системы здравоохранения. Поскольку вредоносное ПО было впервые замечено в мае 2023 года, это открывает новую главу в киберактивности группы Лазарь, требующую повышенного внимания со стороны экспертов по кибербезопасности и организаций.
Source: Cyber Security Connect
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.