朝鮮政府擁有的的臭名昭著的黑客組織正在使用一種新型惡意軟件攻擊歐洲和美國的醫療實體和互聯網骨干基礎設施。思科塔洛斯公司（Cisco Talos）的安全研究人員發布了兩份報告，概述了長期存在的拉扎羅斯（Lazarus）黑客組織的一系列事件，該組織因涉嫌在 2022 年竊取價值 17 億美元的加密貨幣而成為頭條新聞。

研究人員解釋說："這是在不到一年的時間里發生的第三起記錄在案的行動，在這些行動中，該行動者重復使用了相同的基礎設施，"他們補充說，這些事件涉及利用影響 ManageEngine ServiceDesk 的漏洞。報告沒有指明黑客攻擊活動的具體目標。

據該公司稱，ManageEngine 套件被數百家企業（包括每 10 家財富 100 強企業中的 9 家）用于 IT 基礎設施、網絡、服務器、應用程序、端點等。今年 1 月，該產品背后的公司宣布了這一漏洞（編入 CVE-2022-47966 目錄），安全公司警告說，黑客正在利用這一漏洞。

(資料圖片僅供參考)

思科塔洛斯（Cisco Talos）稱，攻擊者從 2 月份開始利用該漏洞部署一種更新、更復雜的惡意軟件，研究人員將其追蹤為 QuiteRAT，它與 Lazarus 使用的其他惡意軟件有許多相同的功能，但防御者更難檢查和捕獲。研究人員稱，在攻擊的初始訪問階段，黑客還使用了開源工具和框架。

該惡意軟件允許黑客收集有關受感染設備的數據，它還有一個功能，可以在預定時間內"休眠"，使其在被入侵的網絡中保持休眠狀態。

QuiteRAT 比其前身 MagicRAT 小得多，Lazarus 黑客于 2022 年 4 月首次公布了 MagicRAT。QuiteRAT 的大小只有 4 到 5 MB，部分原因是它不具備在受害網絡上持續運行的能力。思科塔洛斯公司說，黑客必須在事后推送單獨的持久能力。

"植入程序之間存在相似之處，表明 QuiteRAT 是 MagicRAT 的衍生產品。"研究人員說："除了基于 Qt 框架之外，這兩種植入程序還具有相同的能力，包括在受感染系統上運行任意命令。CollectionRAT具有標準的遠程訪問木馬（RAT）功能，包括在受感染系統上運行任意命令的能力。"

Cisco Talos 將 CollectionRAT 與 Lazarus Group 內部一個名為 Andariel 的部門聯系起來。研究人員發現多種跡象表明，黑客們正在"改變戰術"，并在改進他們的伎倆時越來越依賴開源工具。

研究人員說，該組織越來越肆無忌憚，而且似乎并不在意重復使用全球許多安全公司和政府發現的相同基礎設施、戰術、技術和程序。

思科塔洛斯公司（Cisco Talos）指出，這是該公司去年追蹤到的第三次"Lazarus"行動，其中包括去年 9 月涉及美國、加拿大和日本能源供應商的事件。

幾位網絡安全專家說，使用開源工具令人擔憂，因為它混淆了歸屬，使利用過程變得更快。

Critical Start 公司的網絡威脅研究高級經理 Callie Guenther 說，使用開源工具可以讓黑客們少舉紅旗，跳過從頭開始開發能力的過程。

Guenther 解釋說，許多用于合法防御和進攻任務的開源工具也有已知的成功率，并由安全社區成員不斷改進，因此適應性更強。

Vulcan Cyber 聯合創始人亞尼夫-巴爾-達揚（Yaniv Bar-Dayan）說，入侵系統管理軟件和使用基于開源工具的惡意軟件是"一舉兩得"的事。他說："像 ManageEngine 這樣的系統管理工具可以前所未有地訪問企業的基礎設施，而開源軟件在軟件供應鏈中無處不在。"

標簽：