O Lazarus Group, ator de ameaças persistentes avançadas (APT), vinculado à Coreia do Norte, foi observado explorando uma vulnerabilidade do Zoho ManageEngine para comprometer um provedor de infraestrutura de backbone da Internet na Europa, relatam os pesquisadores de segurança Talos da Cisco.
O ataque ocorreu no início de 2023, cerca de cinco dias após a publicação do código de exploração de prova de conceito (PoC) direcionado à falha ManageEngine, que é rastreada como CVE-2022-47966 (pontuação CVSS de 9,8).
Identificado na dependência de terceiros do Apache xmlsec (XML Security for Java), o problema pode ser explorado para execução remota de código não autenticado. Em novembro de 2022, a Zoho anunciou patches para mais de 20 produtos locais impactados.
Lazarus foi visto explorando CVE-2022-47966 para implantar uma nova variante de trojan de acesso remoto (RAT) chamada BastanteRATque os pesquisadores da Cisco acreditam ser um derivado do conhecido MagicRAT ligado ao Lazarus.
Uma vez executado em uma máquina comprometida, o QuiteRAT coleta informações do sistema e as envia ao servidor do invasor, aguardando a execução dos comandos.
O malware permite que os invasores realizem reconhecimento adicional do sistema, bem como obtenham persistência emitindo um comando para modificar o registro do Windows. QuiteRAT também permite que os invasores implantem malware adicional.
Construído usando a estrutura Qt, o QuiteRAT é muito menor em tamanho comparado ao MagicRAT, principalmente porque incorpora menos bibliotecas Qt e não possui nenhum mecanismo de persistência implementado.
Os pesquisadores observaram diversas outras semelhanças entre as duas famílias de malware, incluindo a implementação das mesmas capacidades, como suporte para execução de comandos na máquina infectada.
“Ambos os implantes também usam codificação base64 para ofuscar suas strings com uma medida adicional, como XOR ou pré-anexar dados codificados, para dificultar a decodificação automática das strings. Ademais, ambos os implantes usam funcionalidade semelhante para permitir que permaneçam inativos no endpoint, especificando um período de suspensão para eles pelo servidor C2”, observa Cisco.
De acordo com os pesquisadores, o Lazarus parece ter abandonado o MagicRAT (a última variante conhecida foi compilada em abril de 2022) e substituído pelo QuiteRAT em ataques mais recentes.
Além da empresa de infraestrutura de backbone da Internet, a Lazarus também foi vista como alvo de entidades de saúde na Europa e nos EUA, observa a Cisco.