От MagicRAT до CollectionRAT: революция группировки Lazarus в кибервойне

[Artifact]

Как уязвимость в продуктах Zoho ManageEngine открыла северокорейским хакерам золотую жилу.
Хакерская группа Lazarus из Северной Кореи активно эксплуатирует критическую уязвимость в программном обеспечении Zoho ManageEngine для атак на множество компаний из разных стран.
Вредоносная операция стартовала в начале этого года и была нацелена на компрометацию организаций в США и Великобритании с целью установки вредоносов QuiteRAT и нового трояна CollectionRAT.
Информация о CollectionRAT появилась после того, как исследователи проанализировали инфраструктуру, используемую для кампаний, которую злоумышленник использовал в том числе и для других атак.
«В начале 2023 года мы наблюдали, как Lazarus Group успешно скомпрометировала поставщика магистральной инфраструктуры Интернета в Соединённом Королевстве для успешного развёртывания QuiteRAT. Злоумышленники использовали уязвимый экземпляр ManageEngine ServiceDesk для получения начального доступа», — сообщили исследователи Cisco Talos.
Lazarus впервые применила PoC-эксплойт для уязвимости CVE-2022-47966 , ошибки удалённого выполнения кода с предварительной аутентификацией, всего через 5 дней после его публикации командой исследователей Horizon3.
Во второй половине 2022 года злоумышленники применяли в своих атаках вредонос MagicRat. Тогда весьма ощутимый для себя ущерб получили поставщики энергии в США, Канаде и Японии.
Затем, в феврале 2023 года исследователи обнаружили вредонос QuiteRAT. Он описывается как простой, но мощный троянец удалённого доступа, который, по-видимому, является крупным шагом вперёд по сравнению MagicRAT.
Как сообщается , код QuiteRAT более компактный, чем у MagicRAT, а тщательный отбор Qt-библиотек позволил уменьшить его размер с 18 МБ всего до 4 МБ при сохранении того же набора функций.
Сегодня же Cisco Talos сообщила в отдельном отчёте о новом трояне под названием CollectionRAT, который хакеры Lazarus использовали в самых последних своих атаках. Он связан с семейством EarlyRAT и обладает весьма обширными возможностями.
Функционал CollectionRAT включает выполнение произвольных команд, управление файлами, сбор системной информации, создание обратной оболочки, создание новых процессов, выборку и запуск новых полезных нагрузок и, наконец, самоудаление.
Ещё одним интересным элементом CollectionRAT является внедрение фреймворка Microsoft Foundation Class (MFC), который позволяет трояну расшифровывать и выполнять свой код «на лету», уклоняться от обнаружения и препятствовать анализу.
Дополнительные признаки эволюции в тактике, методах и процедурах Lazarus, которые заметил Cisco Talos, включают широкое использование инструментов и фреймворков с открытым исходным кодом, таких как Mimikatz для кражи учётных данных, PuTTY Link (Plink) для удалённого туннелирования и DeimosC2 для связи с управляющим сервером.
Такой подход помогает хакерам Lazarus оставлять меньше отчётливых следов и, следовательно, затрудняет определение авторства, отслеживание и разработку эффективных мер защиты.