Lazarus diffonde malware tramite exploit critico su Zoho ManageEngine

Una falla di sicurezza critica che interessava Zoho ManageEngine ServiceDesk Plus, ora corretta, ha permesso agli hacker nordcoreani del gruppo Lazarus di diffondere un il malware QuiteRAT e, in maniera minore, CollectionRAT.

Secondo un'indagine di Cisco Talos, gli obiettivi dei cybercriminali si sono concentrati sul territorio americano ed europeo, con una prevalenza per quanto riguarda gli enti sanitari. Il gruppo Lazarus, già celebre per le sue campagne ransomware, si dimostra così abile anche quando si tratta di organizzare ed attuare attacchi informatici di diverso tipo.

Dall'analisi degli esperti, risulta che QuiteRAT faccia parte di un noto ceppo di malware, a cui fanno parti altri nomi ben noti nel settore come TigerRAT e MagicRAT. Il secondo agente malevolo, ovvero CollectionRAT, fa parte invece di un'altra famiglia.

Secondo i ricercatori Asheer Malhotra, Vitor Ventura e Jungsoo An "QuiteRAT ha molte delle stesse funzionalità del più noto malware MagicRAT di Lazarus Group, ma la dimensione del file è significativamente più contenute". Si parla, infatti, di 18MB per il primo contro i 4-5MB del secondo.

A rafforzare la connessione tra i due agenti malevoli, vi è il fatto che entrambi utilizzino impianti basati sul framework Qt.

Il gruppo hacker Lazarus è impegnato ad evolvere costantemente i propri attacchi

Cisco Talos ha affermato che Lazarus "Fa affidamento sempre più su strumenti e framework open source nella fase di accesso iniziale dei propri attacchi, invece di impiegarli rigorosamente nella fase post-compromississione".

Ciò include il framework DeimosC2 open source basato su GoLang per ottenere accesso persistente, con CollectionRAT utilizzato principalmente per raccogliere metadati, eseguire comandi arbitrari, gestire file sul sistema infetto e, infine, fornire payload aggiuntivi.

Per i ricercatori "Lazarus si affidava in precedenza all'uso di impianti personalizzati come MagicRAT, VSingle, Dtrack e YamaBot come mezzo per stabilire un accesso iniziale persistente a un sistema compromesso con successo [...] Questi impianti sono quindi attrezzati per implementare una varietà di strumenti open source o a duplice uso per eseguire una moltitudine di attività dannose".

Questo sviluppo è un segno che il gruppo di hacker sta continuamente cambiando tattica ed espandendo il proprio arsenale, con un occhio di riguardo per le vulnerabilità appena scoperte.