Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonLe groupe Lazarus a exploité la vulnérabilité de ManageEngine pour cibler les infrastructures critiques
Les pirates informatiques parrainés par l'État nord-coréen Lazarus Group ont exploité une vulnérabilité ManageEngine ServiceDesk (CVE-2022-47966) pour cibler l'infrastructure de base Internet et les établissements de santé en Europe et aux États-Unis.
Le groupe a exploité cette vulnérabilité pour déployer QuiteRAT, téléchargé à partir d'une adresse IP précédemment associée au groupe de piratage Lazarus (alias APT38).
CVE-2022-47966 a été corrigé à la mi-janvier 2023, et peu de temps après, un exploit PoC a été rendu public et les tentatives d'exploitation ont sérieusement commencé.
Le malware que les chercheurs de Cisco Talos ont surnommé QuiteRAT est un simple cheval de Troie d'accès à distance (RAT) similaire au malware MagicRAT du groupe Lazarus, mais de plus petite taille.
MagicRAT et QuiteRAT utilisent tous deux le framework Qt pour développer des applications multiplateformes et disposent pour la plupart des mêmes fonctionnalités. La différence de taille peut être attribuée au fait que MagicRAT intègre l'intégralité du framework Qt, tandis que QuiteRAT n'utilise qu'un petit ensemble de bibliothèques Qt liées statiquement (et du code écrit par l'utilisateur). De plus, QuiteRAT ne dispose pas de capacités de persistance intégrées et dépend du serveur C2 pour les fournir.
« La dernière version de l'ancien implant MagicRAT du groupe Lazarus observée dans la nature a été compilée en avril 2022. Il s'agit de la dernière version de MagicRAT que nous connaissons. L'utilisation de l'implant dérivé de MagicRAT, QuiteRAT, à partir de mai 2023 suggère que l'acteur change de tactique, optant pour un implant basé sur Qt plus petit et plus compact », ont déclaré les chercheurs.
« Comme on l'a vu avec le malware MagicRAT du groupe Lazarus, l'utilisation de Qt augmente la complexité du code, rendant l'analyse humaine plus difficile. L’utilisation de Qt rend également la détection de l’apprentissage automatique et de l’analyse heuristique moins fiable, puisque Qt est rarement utilisé dans le développement de logiciels malveillants.
Chaîne d’infection QuiteRAT. (Source : Talos)
Une fois exécuté et activé, l'implant QuiteRAT commence à envoyer des informations système préliminaires à ses serveurs de commande et de contrôle (C2) et attend les commandes de ceux-ci. Le malware est capable de télécharger et de déployer des charges utiles malveillantes supplémentaires.
En plus de permettre aux chercheurs d'associer ces dernières attaques à Lazarus, le penchant du groupe pour la réutilisation des infrastructures les a aidés à identifier d'autres logiciels malveillants qu'ils utilisent (à savoir CollectionRAT).
Ses capacités incluent l'exécution de commandes arbitraires, la gestion des fichiers du point de terminaison infecté, la collecte d'informations système, la création d'un shell inversé, la génération de nouveaux processus permettant le téléchargement et le déploiement de charges utiles supplémentaires, et enfin, la possibilité de s'auto-supprimer du point de terminaison compromis ( sur ordre du C2).
Liens opérationnels entre les différents implants de malwares. (Source : Talos)
« [CollectionRAT] consiste en un binaire Windows basé sur une bibliothèque Microsoft Foundation Class (MFC) qui déchiffre et exécute le code du malware à la volée. MFC, qui est traditionnellement utilisé pour créer les interfaces utilisateur, les contrôles et les événements des applications Windows, permet à plusieurs composants de logiciels malveillants de fonctionner de manière transparente les uns avec les autres tout en faisant abstraction des implémentations internes du système d'exploitation Windows des auteurs », ont expliqué les chercheurs.
« L’utilisation d’un cadre aussi complexe dans les logiciels malveillants rend l’analyse humaine plus lourde. Cependant, dans CollectionRAT, le framework MFC vient d’être utilisé comme wrapper/déchiffreur pour le code malveillant réel.
Selon les chercheurs de Cisco Talos, le groupe Lazarus modifie légèrement ses tactiques d'attaque. Alors qu'il utilisait auparavant des outils et des frameworks open source tels que Mimikatz, PuTTY Link, Impacket et DeimosC2 uniquement dans la phase post-compromise des attaques, il les utilise désormais également dans la phase initiale.
« Outre les nombreux outils à double usage et frameworks de post-exploitation trouvés sur l'infrastructure d'hébergement du groupe Lazarus, nous avons découvert la présence d'un nouvel implant que nous avons identifié comme une balise du framework open source DeimosC2. Contrairement à la plupart des logiciels malveillants trouvés sur leur infrastructure d'hébergement, l'implant DeimosC2 était un binaire Linux ELF, indiquant l'intention du groupe de le déployer lors de l'accès initial sur des serveurs basés sur Linux », ont-ils ajouté.