Nhóm Lazarus, một tổ chức hacking có liên kết với chính phủ Triều Tiên, đã được phát hiện tấn công vào cơ sở hạ tầng quan trọng của internet và các tổ chức y tế tại Mỹ và châu Âu. Các nhà nghiên cứu trong đội bảo mật Talos của Cisco đã xác định ra phần mềm độc hại mới do nhóm này triển khai, được gọi là QuiteRAT. Các hacker tận dụng một lỗ hổng đã biết trong ManageEngine ServiceDesk để có quyền truy cập ban đầu vào các hệ thống. Một khi đã vào bên trong, họ sử dụng quá trình thời gian chạy Java để tải xuống và thực thi một tệp nhị phân, dẫn đến việc triển khai của QuiteRAT.
Điều làm cho QuiteRAT nổi bật là kích thước tệp nhỏ của nó và khung lập trình mà nó được viết trong đó—Qt. Nó có kích thước đáng kể nhỏ hơn (xung quanh 5 MB) so với phần mềm độc hại trước đó của Nhóm Lazarus, MagicRAT (18 MB), khiến nó khó phát hiện hơn. QuiteRAT có thể thực hiện các lệnh tùy ý trên một máy bị nhiễm, ghi lại các chi tiết cơ bản như địa chỉ MAC và IP, và duy trì trạng thái ngủ đông trong khoảng thời gian dài trước khi được kích hoạt lại.
Đội Talos của Cisco tin rằng QuiteRAT là một hình thái tiến hoá của MagicRAT, phiên bản cuối cùng được cập nhật vào tháng 4 năm 2022. Cả hai phần mềm độc hại này có các điểm tương đồng, bao gồm khả năng chạy các lệnh tùy ý và sử dụng mã hoá base64 để làm mờ các chuỗi của họ. Họ cũng có các chức năng tương tự cho phép họ duy trì trạng thái ngủ đông trong các khoảng thời gian đã chỉ định.
Nhóm Lazarus đã hoạt động từ ít nhất là năm 2009 và được biết đến với các hoạt động gián điệp và ăn cắp tiền điện tử. Sự xuất hiện của QuiteRAT cho thấy sự tiếp tục phát triển trong khả năng mạng của nhóm, đặt ra những quan ngại về tác động tiềm năng của nó đối với cơ sở hạ tầng quan trọng và các hệ thống y tế. Khi phần mềm độc hại này được quan sát lần đầu tiên vào tháng 5 năm 2023, nó đánh dấu một chương mới trong các hoạt động mạng của Nhóm Lazarus, đòi hỏi sự cảnh giác tăng cao từ các chuyên gia và tổ chức bảo mật mạng.
Source: Cyber Security Connect
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.