Lazarus Group が ManageEngine の脆弱性を悪用して重要インフラを標的に
北朝鮮国家支援のハッカー Lazarus Group は、ManageEngine ServiceDesk の脆弱性 (CVE-2022-47966) を悪用して、ヨーロッパと米国のインターネット バックボーン インフラストラクチャと医療機関をターゲットにしています。
このグループは、この脆弱性を利用して、以前に Lazarus ハッキング グループ (別名 APT38) に関連付けられていた IP アドレスからダウンロードされた QuiteRAT を展開しました。
CVE-2022-47966 は 2023 年 1 月中旬にパッチが適用され、その後すぐにその PoC エクスプロイトが公開され、悪用の試みが本格的に始まりました。
Cisco Talos 研究者が QuiteRAT と名付けたこのマルウェアは、Lazarus Group の MagicRAT マルウェアに似ていますが、サイズが小さいだけの単純なリモート アクセス トロイの木馬 (RAT) です。
MagicRAT と QuiteRAT はどちらも、クロスプラットフォーム アプリケーションの開発に Qt フレームワークを使用しており、ほとんど同じ機能を備えています。 サイズの違いは、MagicRAT が Qt フレームワーク全体を組み込んでいるのに対し、QuiteRAT は静的にリンクされた少数の Qt ライブラリ (および一部のユーザー作成コード) を使用していることに起因すると考えられます。 また、QuiteRAT には永続化機能が組み込まれていないため、永続化機能の提供は C2 サーバーに依存しています。
「実環境で観察された Lazarus Group の古い MagicRAT インプラントの最新バージョンは、2022 年 4 月にコンパイルされました。これは、私たちが知っている MagicRAT の最後のバージョンです。 2023 年 5 月から始まった MagicRAT の派生インプラントである QuiteRAT の使用は、攻撃者が戦術を変更し、より小型でコンパクトな Qt ベースのインプラントを選択していることを示唆しています」と研究者らは述べています。
「Lazarus Group の MagicRAT マルウェアで見られるように、Qt の使用によりコードの複雑さが増し、人間による分析が困難になります。 また、Qt がマルウェア開発に使用されることはほとんどないため、Qt を使用すると、機械学習とヒューリスティック分析の検出の信頼性が低くなります。」
QuitRAT 感染チェーン。 (出典: タロス)
QuiteRAT インプラントは、実行されてアクティブ化されると、コマンド アンド コントロール (C2) サーバーへの予備的なシステム情報の送信を開始し、そこからのコマンドを待ちます。 このマルウェアは、追加の悪意のあるペイロードをダウンロードして展開することができます。
研究者らは、これらの最新の攻撃を Lazarus と関連付けることができただけでなく、このグループがインフラストラクチャを再利用する傾向があるため、彼らが使用している他のマルウェア (つまり、CollectionRAT) を特定することができました。
その機能には、任意のコマンドの実行、感染したエンドポイントのファイルの管理、システム情報の収集、リバース シェルの作成、追加のペイロードのダウンロードと展開を可能にする新しいプロセスの生成、そして最後に、侵害されたエンドポイントから自己削除する機能が含まれます ( C2 によって指示された場合)。
さまざまなマルウェア インプラント間の運用上のリンク。 (出典: タロス)
「[CollectionRAT] は、実際のマルウェア コードをオンザフライで復号化して実行する、圧縮された Microsoft Foundation Class (MFC) ライブラリ ベースの Windows バイナリで構成されています。 従来、Windows アプリケーションのユーザー インターフェイス、コントロール、イベントの作成に使用されてきた MFC を使用すると、マルウェアの複数のコンポーネントがシームレスに相互に連携し、Windows OS の内部実装を作成者から抽象化できます」と研究者らは説明しました。
「マルウェアでこのような複雑なフレームワークを使用すると、人間による分析がさらに面倒になります。 ただし、CollectionRAT では、MFC フレームワークは実際の悪意のあるコードのラッパー/復号化ツールとして使用されているだけです。」
Cisco Talos の研究者によると、Lazarus グループは攻撃戦術を若干変更しています。 以前は、Mimikatz、PuTTY Link、Impacket、DeimosC2 などのオープンソース ツールやフレームワークを攻撃の侵害後の段階でのみ使用していましたが、現在は初期段階でも使用しています。
「Lazarus Group のホスティング インフラストラクチャ上で見つかった多くの二重用途ツールやエクスプロイト後のフレームワークとは別に、オープンソースの DeimosC2 フレームワークからのビーコンであると特定した新しいインプラントの存在を発見しました。 彼らのホスティングインフラ上で見つかったほとんどのマルウェアとは対照的に、DeimosC2 インプラントは Linux ELF バイナリであり、Linux ベースのサーバーへの最初のアクセス中にそれを展開するというグループの意図を示しています」と彼らは付け加えた。