Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
HeimDie Lazarus Group nutzte die ManageEngine-Schwachstelle aus, um kritische Infrastrukturen anzugreifen
Der staatlich geförderte nordkoreanische Hacker Lazarus Group hat eine ManageEngine ServiceDesk-Schwachstelle (CVE-2022-47966) ausgenutzt, um die Internet-Backbone-Infrastruktur und Gesundheitseinrichtungen in Europa und den USA anzugreifen.
Die Gruppe nutzte die Schwachstelle aus, um QuiteRAT bereitzustellen, das von einer IP-Adresse heruntergeladen wurde, die zuvor mit der Hackergruppe Lazarus (auch bekannt als APT38) in Verbindung gebracht wurde.
CVE-2022-47966 wurde Mitte Januar 2023 gepatcht, und kurz darauf wurde ein PoC-Exploit dafür öffentlich veröffentlicht und es begannen ernsthafte Exploit-Versuche.
Bei der Malware, die Cisco Talos-Forscher QuiteRAT nennen, handelt es sich um einen einfachen Fernzugriffstrojaner (RAT), der der MagicRAT-Malware der Lazarus Group ähnelt, nur kleiner ist.
Sowohl MagicRAT als auch QuiteRAT verwenden das Qt-Framework für die Entwicklung plattformübergreifender Anwendungen und verfügen über die meisten der gleichen Funktionen. Der Größenunterschied kann darauf zurückgeführt werden, dass MagicRAT das gesamte Qt-Framework enthält, während QuiteRAT nur einen kleinen Satz statisch verknüpfter Qt-Bibliotheken (und etwas vom Benutzer geschriebenen Code) verwendet. Außerdem verfügt QuiteRAT nicht über integrierte Persistenzfunktionen und ist darauf angewiesen, dass der C2-Server diese bereitstellt.
„Die neueste Version des älteren MagicRAT-Implantats der Lazarus Group, die in freier Wildbahn beobachtet wurde, wurde im April 2022 erstellt. Dies ist die letzte uns bekannte Version von MagicRAT. „Der Einsatz des von MagicRAT abgeleiteten Implantats QuiteRAT ab Mai 2023 deutet darauf hin, dass der Akteur seine Taktik ändert und sich für ein kleineres, kompakteres Qt-basiertes Implantat entscheidet“, sagten die Forscher.
„Wie bei der MagicRAT-Malware der Lazarus Group zu sehen ist, erhöht der Einsatz von Qt die Codekomplexität und erschwert die menschliche Analyse. Durch die Verwendung von Qt werden maschinelles Lernen und die Erkennung heuristischer Analysen auch weniger zuverlässig, da Qt selten in der Malware-Entwicklung eingesetzt wird.“
QuiteRAT-Infektionskette. (Quelle: Talos)
Nach der Ausführung und Aktivierung beginnt das QuiteRAT-Implantat mit dem Senden vorläufiger Systeminformationen an seine Befehls- und Kontrollserver (C2) und wartet auf Befehle von diesen. Die Malware ist in der Lage, zusätzliche bösartige Payloads herunterzuladen und bereitzustellen.
Abgesehen davon, dass Forscher diese neuesten Angriffe mit Lazarus in Verbindung bringen konnten, half ihnen die Vorliebe der Gruppe für die Wiederverwendung der Infrastruktur auch dabei, andere von ihnen verwendete Malware (nämlich CollectionRAT) zu identifizieren.
Zu seinen Fähigkeiten gehören die Ausführung willkürlicher Befehle, die Verwaltung von Dateien des infizierten Endpunkts, das Sammeln von Systeminformationen, die umgekehrte Shell-Erstellung, die Erzeugung neuer Prozesse, die das Herunterladen und Bereitstellen zusätzlicher Nutzlasten ermöglichen, und schließlich die Möglichkeit, sich selbst vom gefährdeten Endpunkt zu löschen ( auf Anweisung des C2).
Operative Verbindungen zwischen den verschiedenen Malware-Implantaten. (Quelle: Talos)
„[CollectionRAT] besteht aus einer gepackten, auf der Microsoft Foundation Class (MFC)-Bibliothek basierenden Windows-Binärdatei, die den eigentlichen Malware-Code im laufenden Betrieb entschlüsselt und ausführt. MFC, das traditionell zum Erstellen von Benutzeroberflächen, Steuerelementen und Ereignissen von Windows-Anwendungen verwendet wird, ermöglicht die nahtlose Zusammenarbeit mehrerer Malware-Komponenten und abstrahiert gleichzeitig die inneren Implementierungen des Windows-Betriebssystems von den Autoren“, erklärten die Forscher.
„Die Verwendung eines so komplexen Frameworks in Malware macht die menschliche Analyse umständlicher. In CollectionRAT wurde das MFC-Framework jedoch nur als Wrapper/Entschlüsseler für den eigentlichen Schadcode verwendet.“
Laut Cisco Talos-Forschern ändert die Lazarus-Gruppe ihre Angriffstaktiken leicht. Während zuvor nur in der Post-Compromise-Phase von Angriffen Open-Source-Tools und Frameworks wie Mimikatz, PuTTY Link, Impacket und DeimosC2 zum Einsatz kamen, nutzt es diese nun auch in der Anfangsphase.
„Abgesehen von den vielen Dual-Use-Tools und Post-Exploitation-Frameworks, die in der Hosting-Infrastruktur der Lazarus Group zu finden sind, haben wir das Vorhandensein eines neuen Implantats entdeckt, das wir als Leuchtfeuer des Open-Source-DeimosC2-Frameworks identifiziert haben. Im Gegensatz zu den meisten Schadprogrammen, die auf ihrer Hosting-Infrastruktur gefunden wurden, handelte es sich bei dem DeimosC2-Implantat um eine Linux-ELF-Binärdatei, was auf die Absicht der Gruppe hindeutet, sie beim ersten Zugriff auf Linux-basierte Server bereitzustellen“, fügten sie hinzu.
Die Lazarus Group ist dafür bekannt, finanziell motivierte und Cyberspionage-Cyberangriffe durchzuführen, die darauf abzielen, die politischen Ziele Nordkoreas voranzutreiben und Kryptowährungen zu stehlen, die zur Finanzierung der verschiedenen Bemühungen des Landes erforderlich sind.
Am Dienstag hat das FBI Kryptowährungsunternehmen gewarnt, dass mit der Lazarus-Gruppe verbundene Akteure versuchen, bei internationalen Kryptowährungsraubzügen gestohlene Bitcoins im Wert von 40 Millionen US-Dollar auszuzahlen, und dass sie keine Transaktionen mit oder abgeleitet von den bereitgestellten Bitcoin-Adressen zulassen sollten über ihre Handelsplattformen.