El Grup Làzarus, un col·lectiu de hackers vinculat al govern de Corea del Nord, ha estat detectat atacant la infraestructura vertebral d’internet i organitzacions d’atenció mèdica als EUA i Europa. Investigadors de l’equip de seguretat Talos de Cisco han identificat un nou malware desplegat pel grup, anomenat QuiteRAT. Els hackers exploten una vulnerabilitat coneguda a ManageEngine ServiceDesk per obtenir accés inicial als sistemes. Un cop a dins, utilitzen el procés d’execució de Java per descarregar i executar un arxiu binari, la qual cosa porta al desplegament de QuiteRAT.
El que distingeix a QuiteRAT és la seva petita mida d’arxiu i el marc de programació en què està escrit: Qt. És significativament més petit (al voltant de 5 MB) en comparació amb el malware anterior del Grup Làzarus, MagicRAT (18 MB), la qual cosa el fa més difícil de detectar. QuiteRAT pot executar ordres arbitràries en una màquina infectada, registrar detalls bàsics com a adreces MAC i IP, i romandre inactiu durant períodes prolongats abans de la seva reactivació.
L’equip Talos de Cisco creu que QuiteRAT és una forma evolucionada de MagicRAT, que es va actualitzar per última vegada a l’abril de 2022. Tots dos malwares comparteixen similituds, incloent-hi la capacitat d’executar ordres arbitràries i utilitzar codificació base64 per ofuscar les seves cadenes. També tenen una funcionalitat similar que els permet romandre inactius durant períodes especificats.
El Grup Làzarus ha estat actiu des d’almenys el 2009 i és conegut per l’espionatge i el robatori de criptomonedes. L’aparició de QuiteRAT indica una evolució contínua en les capacitats cibernètiques del grup, la qual cosa genera preocupacions sobre el seu impacte potencial en la infraestructura crítica i els sistemes d’atenció mèdica. Atès que el malware va ser observat per primera vegada al maig de 2023, marca un nou capítol en les activitats cibernètiques del Grup Làzarus, la qual cosa justifica una vigilància reforçada per part d’experts en ciberseguretat i organitzacions per igual.
Source: Cyber Security Connect
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.