Gli esperti di Cisco Talos hanno scoperto una nuova campagna malware effettuata dal gruppo Lazarus contro aziende che gestiscono le infrastrutture dei backbone di Internet e operano nel settore sanitario in Europa e Stati Uniti. Sfruttando una vulnerabilità del software ManageEngine ServiceDesk, i cybercriminali nordcoreani hanno distribuito QuiteRAT.
Cyberattacco con QuiteRAT
La vulnerabilità di ManageEngine ServiceDesk, indicata con CVE-2022-47966, consente eseguire codice remoto. Il gruppo Lazarus ha sfruttato il bug per ottenere l’accesso iniziale nei sistemi aziendali. L’exploit consente di scaricare QuiteRAT con un comando cURL e la successiva esecuzione attraverso il processo runtime di Java.
Il malware invia quindi al server C2 (command and control) le informazioni sul sistema (indirizzi IP, indirizzi MAC, username e altre) e attende i comandi per altre attività. Può anche utilizzare tool di Windows per la scansione della rete. La persistenza (avvio automatico) viene ottenuta con una chiave di registro.
Le funzionalità di QuiteRAT sono simile a quelle di MagicRAT (usato da Lazarus nel 2022), ma ci sono alcune differenze. QuiteRAT ha una dimensione inferiore (4-5 MB contro 18 MB) perché integra solo le librerie Qt necessarie, invece dell’intero framework. Inoltre MagicRAT ottiene la persistenza tramite un’attività pianificata.
L’uso di Qt incrementa la complessità del codice e rende più difficile la rilevazione del malware con i tool di analisi. Nell’arsenale di malware del gruppo Lazarus c’è anche CollectionRAT che offre funzionalità analoghe a quelle di QuiteRAT, tra cui l’esecuzione di codice remoto.