От MagicRAT до CollectionRAT: революция группировки Lazarus в кибервойне

Хакерская группа Lazarus из Северной Кореи активно эксплуатирует критическую уязвимость в программном обеспечении Zoho ManageEngine для атак на множество компаний из разных стран.

Вредоносная операция стартовала в начале этого года и была нацелена на компрометацию организаций в США и Великобритании с целью установки вредоносов QuiteRAT и нового трояна CollectionRAT.

Информация о CollectionRAT появилась после того, как исследователи проанализировали инфраструктуру, используемую для кампаний, которую злоумышленник использовал в том числе и для других атак.

«В начале 2023 года мы наблюдали, как Lazarus Group успешно скомпрометировала поставщика магистральной инфраструктуры Интернета в Соединённом Королевстве для успешного развёртывания QuiteRAT. Злоумышленники использовали уязвимый экземпляр ManageEngine ServiceDesk для получения начального доступа», — сообщили исследователи Cisco Talos.

Lazarus впервые применила PoC-эксплойт для уязвимости CVE-2022-47966 , ошибки удалённого выполнения кода с предварительной аутентификацией, всего через 5 дней после его публикации командой исследователей Horizon3.

Во второй половине 2022 года злоумышленники применяли в своих атаках вредонос MagicRat. Тогда весьма ощутимый для себя ущерб получили поставщики энергии в США, Канаде и Японии.

Затем, в феврале 2023 года исследователи обнаружили вредонос QuiteRAT. Он описывается как простой, но мощный троянец удалённого доступа, который, по-видимому, является крупным шагом вперёд по сравнению MagicRAT.

Как сообщается , код QuiteRAT более компактный, чем у MagicRAT, а тщательный отбор Qt-библиотек позволил уменьшить его размер с 18 МБ всего до 4 МБ при сохранении того же набора функций.

Сегодня же Cisco Talos сообщила в отдельном отчёте о новом трояне под названием CollectionRAT, который хакеры Lazarus использовали в самых последних своих атаках. Он связан с семейством EarlyRAT и обладает весьма обширными возможностями.

Функционал CollectionRAT включает выполнение произвольных команд, управление файлами, сбор системной информации, создание обратной оболочки, создание новых процессов, выборку и запуск новых полезных нагрузок и, наконец, самоудаление.

Ещё одним интересным элементом CollectionRAT является внедрение фреймворка Microsoft Foundation Class (MFC), который позволяет трояну расшифровывать и выполнять свой код «на лету», уклоняться от обнаружения и препятствовать анализу.

Дополнительные признаки эволюции в тактике, методах и процедурах Lazarus, которые заметил Cisco Talos, включают широкое использование инструментов и фреймворков с открытым исходным кодом, таких как Mimikatz для кражи учётных данных, PuTTY Link (Plink) для удалённого туннелирования и DeimosC2 для связи с управляющим сервером.

Такой подход помогает хакерам Lazarus оставлять меньше отчётливых следов и, следовательно, затрудняет определение авторства, отслеживание и разработку эффективных мер защиты.