Il Gruppo Lazarus, un collettivo di hacker collegato al governo della Corea del Nord, è stato individuato mentre prendeva di mira l’infrastruttura dorsale di Internet e le organizzazioni sanitarie negli Stati Uniti e in Europa. I ricercatori del team di sicurezza Talos di Cisco hanno identificato un nuovo malware distribuito dal gruppo, denominato QuiteRAT. Gli hacker sfruttano una vulnerabilità nota nel ManageEngine ServiceDesk per ottenere un primo accesso ai sistemi. Una volta all’interno, utilizzano il processo di runtime Java per scaricare ed eseguire un file binario, portando al dispiegamento di QuiteRAT.
Ciò che distingue QuiteRAT è la sua piccola dimensione del file e il framework di programmazione in cui è scritto—Qt. È significativamente più piccolo (circa 5 MB) rispetto al precedente malware del Gruppo Lazarus, MagicRAT (18 MB), rendendolo più difficile da rilevare. QuiteRAT può eseguire comandi arbitrari su una macchina infettata, registrare dettagli di base come indirizzi MAC e IP, e rimanere dormiente per periodi prolungati prima della riattivazione.
Il team Talos di Cisco ritiene che QuiteRAT sia una forma evoluta di MagicRAT, che è stato aggiornato per l’ultima volta nell’aprile 2022. Entrambi i malware condividono similitudini, tra cui la capacità di eseguire comandi arbitrari e l’uso della codifica base64 per offuscare le loro stringhe. Hanno anche funzionalità simili che consentono loro di rimanere dormienti per periodi specificati.
Il Gruppo Lazarus è attivo dal 2009 ed è noto per attività di spionaggio e furto di criptovalute. L’emergere di QuiteRAT indica una continua evoluzione nelle capacità informatiche del gruppo, sollevando preoccupazioni circa il suo potenziale impatto su infrastrutture critiche e sistemi sanitari. Poiché il malware è stato osservato per la prima volta nel maggio 2023, segna un nuovo capitolo nelle attività informatiche del Gruppo Lazarus, giustificando un’attenzione rafforzata da parte di esperti di cybersecurity e organizzazioni.
Source: Cyber Security Connect
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.