W stale ewoluującym krajobrazie cyberzagrożeń, Lazarus Group, północnokoreański kolektyw hakerski, ostatnio podniósł poprzeczkę. Znani ze swoich wyrafinowanych ataków, wdrożyli nowego, wysoce unikalnego trojana zdalnego dostępu (RAT) o nazwie QuiteRAT. Ten RAT jest ulepszeniem poprzednich wersji, MagicRAT i TigerRAT, i ma kilka unikalnych funkcji, które sprawiają, że jest niezwykle trudny do wykrycia. W tym wpisie na blogu zagłębimy się w techniczne aspekty QuiteRAT i omówimy jego potencjalne implikacje dla cyberbezpieczeństwa.
Grupa Lazarus ma historię rozwoju RAT, począwszy od TigerRAT w 2021 roku, a następnie MagicRAT w 2022 roku. Najnowszym produktem z tej linii jest QuiteRAT, który jest bardziej kompaktowy i zwrotny niż jego poprzednicy. Podczas gdy MagicRAT miał 18 megabajtów, QuiteRAT ma zaledwie 4 do 5 megabajtów, dzięki czemu jest mniej zauważalny w sieciach docelowych.
Jednym z najbardziej intrygujących aspektów QuiteRAT jest wykorzystanie frameworka Qt, powszechnie używanego do projektowania graficznych interfejsów użytkownika (GUI). Ta struktura pozwala QuiteRAT maskować się jako łagodna aplikacja, unikając narzędzi do wykrywania złośliwego oprogramowania. Framework Qt jest zwykle używany w legalnych aplikacjach, co zmniejsza prawdopodobieństwo, że heurystyczne mechanizmy wykrywania oznaczą QuiteRAT jako złośliwy.
QuiteRAT został po raz pierwszy zastosowany w atakach na organizacje opieki zdrowotnej w USA i Wielkiej Brytanii, a także na brytyjskiego dostawcę infrastruktury internetowej. Ataki te miały miejsce wkrótce po ujawnieniu krytycznej luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu w Zoho ManageEngine, którą Lazarus wykorzystał do uzyskania dostępu do tych organizacji.
Wykorzystanie frameworka Qt w złośliwym oprogramowaniu jest niepokojącym trendem. Jak ostrzega Asheer Malhotra, badacz zagrożeń w Cisco Talos, technika ta może zainspirować innych aktorów zagrożeń i grupy APT do przyjęcia podobnych taktyk unikania. Chociaż nie ma na to dowodów, społeczność cyberbezpieczeństwa powinna zachować czujność.
QuiteRAT firmy Lazarus Group jest świadectwem ewoluującego wyrafinowania cyberzagrożeń. Jego niewielkie rozmiary i innowacyjne wykorzystanie frameworka Qt do omijania zabezpieczeń sprawiają, że stanowi on ogromne wyzwanie dla specjalistów ds. cyberbezpieczeństwa. Ponieważ granice między nieszkodliwym a złośliwym oprogramowaniem nadal się zacierają, organizacje muszą wyprzedzać konkurencję w zrozumieniu i łagodzeniu takich zaawansowanych zagrożeń.