cyber-4444450_640.jpg

Lazarus invade ManageEngine para hackear provedor de internet

Da Redação
25/08/2023

O Lazarus Group, operador de ameaças persistentes avançadas (APT) vinculado à Coreia do Norte, foi observado explorando uma vulnerabilidade do Zoho ManageEngine para comprometer um provedor de infraestrutura de backbone de internet na Europa, relatam os pesquisadores de segurança da Cisco Talos.

O ataque ocorreu no início deste ano, cerca de cinco dias após a publicação do código de exploração de prova de conceito (PoC) direcionado à falha ManageEngine, que é rastreada como CVE-2022-47966, com escore de 9.8 no  sistema de pontuação comum de vulnerabilidades (CVSS.

Identificado na dependência de terceiros do Apache xmlsec (XML Security for Java), o problema pode ser explorado para execução remota de código (RCE) não autenticado. Em novembro de 2022, a Zoho anunciou patches para mais de 20 produtos impactados.

O Lazarus foi visto explorando o CVE-2022-47966 para implantar uma nova variante de trojan de acesso remoto (RAT), chamada QuiteRAT, que os pesquisadores da Cisco acreditam ser um derivado do conhecido MagicRAT vinculado ao Lazarus.

Uma vez executado em uma máquina comprometida, o QuiteRAT coleta informações do sistema e as envia ao servidor do invasor, aguardando a execução dos comandos. O malware permite que os invasores realizem reconhecimento adicional do sistema, bem como obtenham persistência emitindo um comando para modificar o registro do Windows. O QuiteRAT também permite que os invasores implantem malware adicional.

Construído usando a estrutura Qt, o QuiteRAT é muito menor em tamanho comparado ao MagicRAT, principalmente porque incorpora menos bibliotecas Qt e não possui nenhum mecanismo de persistência implementado.

Veja isso
Grupo Lazarus viola servidores IIS para espalhar malware
GitHub alerta sobre hackers do Lazarus visando desenvolvedores

Os pesquisadores observaram diversas outras semelhanças entre as duas famílias de malware, incluindo a implementação das mesmas capacidades, como suporte para execução de comandos na máquina infectada.

“Ambos usam codificação base64 para ofuscar suas strings com uma medida adicional, como XOR ou pré-anexar dados codificados, para dificultar a decodificação automática das strings. Além disso, os dois usam funcionalidade semelhante para permitir que permaneçam inativos no endpoint, especificando um período de suspensão para eles pelo servidor de comando e controle (C&C)”, observa Cisco.

De acordo com os pesquisadores, o Lazarus parece ter abandonado o MagicRAT (a última variante conhecida foi compilada em abril de 2022) e substituído pelo QuiteRAT em ataques mais recentes.Além da empresa de infraestrutura de backbone da internet, a Lazarus também foi visto como alvo de entidades de saúde na Europa e nos EUA, observa a Cisco.

Compartilhar: