Ewolucja podstępu w cyberwojnie: Rozpakowywanie QuiteRAT Grupy Lazarus

W stale ewoluującym krajobrazie cyberzagrożeń, Lazarus Group, północnokoreański kolektyw hakerski, ostatnio podniósł poprzeczkę. Znani ze swoich wyrafinowanych ataków, wdrożyli nowego, wysoce unikalnego trojana zdalnego dostępu (RAT) o nazwie QuiteRAT. Ten RAT jest ulepszeniem poprzednich wersji, MagicRAT i TigerRAT, i ma kilka unikalnych funkcji, które sprawiają, że jest niezwykle trudny do wykrycia. W tym wpisie na blogu zagłębimy się w techniczne aspekty QuiteRAT i omówimy jego potencjalne implikacje dla cyberbezpieczeństwa.

Ewolucja szczurów RAT: Od TigerRAT do QuiteRAT

Grupa Lazarus ma historię rozwoju RAT, począwszy od TigerRAT w 2021 roku, a następnie MagicRAT w 2022 roku. Najnowszym produktem z tej linii jest QuiteRAT, który jest bardziej kompaktowy i zwrotny niż jego poprzednicy. Podczas gdy MagicRAT miał 18 megabajtów, QuiteRAT ma zaledwie 4 do 5 megabajtów, dzięki czemu jest mniej zauważalny w sieciach docelowych.

GUI Framework: Wilk w owczej skórze

Jednym z najbardziej intrygujących aspektów QuiteRAT jest wykorzystanie frameworka Qt, powszechnie używanego do projektowania graficznych interfejsów użytkownika (GUI). Ta struktura pozwala QuiteRAT maskować się jako łagodna aplikacja, unikając narzędzi do wykrywania złośliwego oprogramowania. Framework Qt jest zwykle używany w legalnych aplikacjach, co zmniejsza prawdopodobieństwo, że heurystyczne mechanizmy wykrywania oznaczą QuiteRAT jako złośliwy.

Ukierunkowane ataki i rozmieszczenie

QuiteRAT został po raz pierwszy zastosowany w atakach na organizacje opieki zdrowotnej w USA i Wielkiej Brytanii, a także na brytyjskiego dostawcę infrastruktury internetowej. Ataki te miały miejsce wkrótce po ujawnieniu krytycznej luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu w Zoho ManageEngine, którą Lazarus wykorzystał do uzyskania dostępu do tych organizacji.

Co sprawia, że QuiteRAT jest wyjątkowy?

• Kompaktowy rozmiar: Zajmując zaledwie 4 do 5 megabajtów, QuiteRAT jest znacznie mniejszy niż jego poprzednik, MagicRAT, który zajmował 18 megabajtów.
• Techniki unikania: Korzystanie z frameworka Qt pozwala mu ominąć heurystyczne mechanizmy wykrywania, co czyni go niezwykle trudnym do wykrycia.
• Brak wbudowanej trwałości: W przeciwieństwie do MagicRAT, który mógł skonfigurować zaplanowane zadania dla trwałości, QuiteRAT polega na serwerze Command and Control (C2), aby przyznać takie możliwości.

Szerszy obraz sytuacji: Trend, który warto obserwować

Wykorzystanie frameworka Qt w złośliwym oprogramowaniu jest niepokojącym trendem. Jak ostrzega Asheer Malhotra, badacz zagrożeń w Cisco Talos, technika ta może zainspirować innych aktorów zagrożeń i grupy APT do przyjęcia podobnych taktyk unikania. Chociaż nie ma na to dowodów, społeczność cyberbezpieczeństwa powinna zachować czujność.

Wnioski

QuiteRAT firmy Lazarus Group jest świadectwem ewoluującego wyrafinowania cyberzagrożeń. Jego niewielkie rozmiary i innowacyjne wykorzystanie frameworka Qt do omijania zabezpieczeń sprawiają, że stanowi on ogromne wyzwanie dla specjalistów ds. cyberbezpieczeństwa. Ponieważ granice między nieszkodliwym a złośliwym oprogramowaniem nadal się zacierają, organizacje muszą wyprzedzać konkurencję w zrozumieniu i łagodzeniu takich zaawansowanych zagrożeń.