Lazarus: 2 malware distribuiti attraverso falla su Zoho ManageEngine

Il famigerato gruppo di hacker nordcoreani Lazarus è tornato a far parlare di sé per una nuova “impresa”.

Sfruttando una falla di sicurezza su Zoho ManageEngine ServiceDesk Plus, gli hacker sono riusciti a distribuire un trojan di accesso remoto noto come QuiteRAT. Nonostante la vulnerabilità sia stata prontamente eliminata, secondo i dati di Cisco Talos, i principali obiettivi del gruppo in tale operazione, a quanto pare, sono diversi enti sanitari in Europa e negli Stati Uniti.

QuiteRAT, secondo i ricercatori, è frutto dell’evoluzione di diversi trojan nel corso degli anni: la famiglia di agenti malevoli in questione, infatti, includerebbe nomi noti agli esperti come MagicRAT e TigerRAT.

A questa campagna, inoltre, gli esperti collegano anche un nuovo e temibile malware a sé stante denominato CollectionRAT. Quest’ultimo presenta un codice in PureBasic, con ampie capacità quando si tratta di eseguire comandi sull’endpoint.

Lazarus torna in azione con il malware QuiteRAT

I ricercatori Asheer Malhotra, Vitor Ventura e Jungsoo An hanno voluto analizzare QuiteRAT nei dettagli, affermando come “Ha molte delle stesse funzionalità del più noto malware MagicRAT di Lazarus Group, ma la dimensione del file è significativamente più piccola“, aggiungendo poi come “Entrambi gli impianti sono basati sul framework Qt e includono funzionalità come l’esecuzione di comandi arbitrari“.

L’uso del framework Qt è visto come uno sforzo intenzionale da parte del gruppo per rendere l’analisi molto più impegnativa poiché, a detta degli esperti, “Aumenta la complessità del codice del malware“.

Cisco Talos ha affermato che Lazarus “Fa affidamento sempre più su strumenti e framework open source nella fase di accesso iniziale dei propri attacchi, invece di impiegarli rigorosamente nella fase post-compromesso“.

Ciò include il framework DeimosC2 open source basato su GoLang per ottenere accesso persistente, con CollectionRAT utilizzato principalmente per raccogliere metadati, eseguire comandi arbitrari, gestire file sul sistema infetto e fornire payload aggiuntivi.

ManageEngine è una divisione di Zoho Corporation, capace di offrire soluzioni aziendali per la gestione IT. Si parla di servizi come software di sicurezza, service desk e non solo.