El Grupo Lazarus, un colectivo de hackers vinculado al gobierno de Corea del Norte, ha sido detectado atacando la infraestructura vertebral de internet y organizaciones de atención médica en EE.UU. y Europa. Investigadores del equipo de seguridad Talos de Cisco han identificado un nuevo malware desplegado por el grupo, bautizado como QuiteRAT. Los hackers explotan una vulnerabilidad conocida en ManageEngine ServiceDesk para obtener acceso inicial a los sistemas. Una vez dentro, utilizan el proceso de tiempo de ejecución de Java para descargar y ejecutar un archivo binario, lo que lleva al despliegue de QuiteRAT.
Lo que distingue a QuiteRAT es su pequeño tamaño de archivo y el marco de programación en el que está escrito: Qt. Es significativamente más pequeño (alrededor de 5 MB) en comparación con el malware anterior del Grupo Lazarus, MagicRAT (18 MB), lo que lo hace más difícil de detectar. QuiteRAT puede ejecutar comandos arbitrarios en una máquina infectada, registrar detalles básicos como direcciones MAC e IP y permanecer inactivo durante períodos prolongados antes de su reactivación.
El equipo Talos de Cisco cree que QuiteRAT es una forma evolucionada de MagicRAT, que se actualizó por última vez en abril de 2022. Ambos malwares comparten similitudes, incluida la capacidad de ejecutar comandos arbitrarios y utilizar codificación base64 para ofuscar sus cadenas. También tienen una funcionalidad similar que les permite permanecer inactivos durante períodos especificados.
El Grupo Lazarus ha estado activo desde al menos 2009 y es conocido por el espionaje y el robo de criptomonedas. La aparición de QuiteRAT indica una evolución continua en las capacidades cibernéticas del grupo, lo que genera preocupaciones sobre su impacto potencial en la infraestructura crítica y los sistemas de atención médica. Dado que el malware fue observado por primera vez en mayo de 2023, marca un nuevo capítulo en las actividades cibernéticas del Grupo Lazarus, lo que justifica una vigilancia reforzada por parte de expertos en ciberseguridad y organizaciones por igual.
Source: Cyber Security Connect
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.