Lazarus APT 利用 Zoho ManageEngine 缺陷瞄准互联网骨干基础设施提供商

与朝鲜有关的 Lazarus 组织利用 Zoho ManageEngine ServiceDesk Plus 中的一个严重缺陷来传播 QuiteRAT 恶意软件。

与朝鲜有关的 APT 组织 Lazarus 一直在利用Zoho ManageEngine ServiceDesk 中的一个严重漏洞（编号为CVE-2022-47966 ），针对互联网骨干基础设施提供商和医疗保健组织发起攻击。

国家支持的黑客以欧洲和美国的实体为目标，在 PoC 漏洞被公开披露几天后，威胁行为者就开始利用该漏洞。APT 组织利用该缺陷部署了一种名为 QuiteRAT 的新型恶意软件。安全研究人员在二月份首次发现了这个植入程序。

QuiteRAT 支持与 Lazarus Group 的MagicRAT恶意软件相同的功能，但专家指出，其文件大小要小得多。这两个植入程序都是使用 Qt 框架编写的，并支持远程命令执行。

Qt 框架的使用使得分析恶意软件代码和检测这些威胁变得更加困难。

“2023 年初，我们观察到 Lazarus Group 成功入侵了欧洲的一家互联网骨干基础设施提供商，从而成功部署了 QuiteRAT。攻击者利用易受攻击的 ManageEngine ServiceDesk 实例来获得初始访问权限。” Talos 研究人员发表的报告中写道。“成功的利用触发了通过 Java 运行时进程立即下载和执行恶意二进制文件。”

Lazarus 组织使用 cURL 命令从恶意 URL 部署 QuiteRAT 二进制文件。

下载二进制文件后，Java 进程就会执行 QuiteRAT 二进制文件，并激活受感染服务器上的植入程序。一旦植入程序启动，它就会向 C2 发送初步系统信息并等待命令执行。

研究人员还发现 Lazarus Group APT 使用了一种名为“CollectionRAT”的新恶意软件。

CollectionRAT 是一种远程访问木马 (RAT)，可以在受感染的系统上运行任意命令。研究人员将 CollectionRAT 与 Jupiter / EarlyRAT联系起来，后者是 Lazarus 组织的一个子组织 Andariel APT 使用的恶意软件。

研究人员注意到，Lazarus Group 正在改变策略，在初始访问阶段越来越依赖开源工具和框架（即开源 DeimosC2 框架），而不是在入侵后阶段严格使用它们。

“我们观察到 Lazarus Group 使用的另一个开源工具是反向隧道工具 PuTTY Link (Plink)。过去，我们观察到 Lazarus Group 使用 Plink 建立远程隧道”，报告继续说道。

Talos 报告称，Lazarus APT 继续使用大部分相同的基础设施，并采用相同的策略、技术和程序 (TTP)，尽管其中许多是众所周知的。CollectionRAT 恶意软件是通过跟踪和分析这些重复使用的基础设施组件而发现的。

研究人员在其Github 存储库上发布了针对最近这次攻击的 IOC 。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7835.html