กลุ่มแฮ็กเกอร์ Lazarus ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้ใช้ประโยชน์จากช่องโหว่ระดับ Critical (CVE-2022-47966) ใน ManageEngine ServiceDesk ของ Zoho เพื่อโจมตีผู้ให้บริการอินเทอร์เน็ต และองค์กรด้านการดูแลสุขภาพ
แคมเปญดังกล่าวเริ่มขึ้นเมื่อต้นปี 2023 และมุ่งเป้าไปที่การโจมตีหน่วยงานในสหรัฐอเมริกา และสหราชอาณาจักรเพื่อติดตั้งมัลแวร์ QuiteRAT และโทรจันที่ใช้ในการเข้าถึงจากระยะไกล (RAT) ตัวใหม่ ซึ่งนักวิจัยเรียกว่า CollectionRAT โดยได้รับความสนใจภายหลังจากที่นักวิจัยวิเคราะห์โครงสร้างพื้นฐานที่ถูกใช้แคมเปญการโจมตีนี้ ซึ่งผู้โจมตีเคยใช้สำหรับการโจมตีอื่น ๆ เช่นกัน
การโจมตีบริษัทอินเทอร์เน็ต
นักวิจัยของ Cisco Talos พบว่ากลุ่ม Lazarus ประสบความสำเร็จในการโจมตีผู้ให้บริการอินเทอร์เน็ตในสหราชอาณาจักรในช่วงต้นปี 2023 โดยใช้ประโยชน์จากช่องโหว่ CVE-2022-47966 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลกระทบต่อผลิตภัณฑ์ Zoho ManageEngine หลายรายการ
นักวิเคราะห์รายงานว่า Lazarus เริ่มใช้ช่องโหว่นี้เพียงห้าวันหลังจากที่มีการเปิดเผย Exploit ออกสู่สาธารณะ โดยพบแฮ็กเกอร์หลายรายใช้ประโยชน์จากช่องโหว่ดังกล่าวเช่นกัน จากรายงานที่ Rapid7, Shadowserver และ GreyNoise ตรวจพบ ทำให้ CISA ออกคำเตือนไปยังองค์กรต่าง ๆ ภายหลังจากการโจมตีสำเร็จ กลุ่ม Lazarus จะติดตั้งมัลแวร์ QuiteRAT จาก URL ภายนอกโดยใช้คำสั่ง curl
QuiteRAT ถูกพบในเดือนกุมภาพันธ์ 2023 ถูกระบุว่าเป็นโทรจันที่ใช้ในการเข้าถึงจากระยะไกลที่เรียบง่าย แต่ทรงประสิทธิภาพ ซึ่งดูเหมือนจะพัฒนาขึ้นมาจาก MagicRAT ซึ่งเป็นที่รู้จักกันดี โดยในช่วงครึ่งหลังของปี 2022 พบการกำหนดเป้าหมายไปยังผู้ให้บริการด้านพลังงานในสหรัฐอเมริกา, แคนาดา และญี่ปุ่น
มัลแวร์ Lazarus ตัวใหม่
ในรายงานฉบับอื่นของวันนี้ Cisco Talos ระบุว่า กลุ่ม Lazarus มีมัลแวร์ใหม่ที่ชื่อว่า collectionRAT โดยมัลแวร์ตัวนี้ถูกค้นพบภายหลังจากที่นักวิจัยได้ตรวจสอบโครงสร้างพื้นฐานที่แฮ็กเกอร์ใช้ในการโจมตีอื่น ๆ ซึ่งนักวิจัยระบุว่า CollectionRAT ดูเหมือนจะเกี่ยวข้องกับมัลแวร์ในตระกูล "EarlyRAT"
เมื่อต้นปีที่ผ่านมา Kaspersky ได้เชื่อมโยงความเกี่ยวข้องระหว่าง EarlyRAT กับ Andariel ("Stonefly") ซึ่งเชื่อกันว่าเป็นกลุ่มย่อยภายในทีมของ Lazarus ซึ่งความสามารถของ CollectionRAT ได้แก่ การดำเนินการคำสั่งตามผู้ใช้งาน, การจัดการไฟล์, การรวบรวมข้อมูลระบบ, การดึงข้อมูล และการสร้างเพย์โหลดใหม่ รวมถึงการลบตัวเองออกจากระบบ
องค์ประกอบที่น่าสนใจอีกประการหนึ่งใน CollectionRAT คือการรวมตัวกันของเฟรมเวิร์ก Microsoft Foundation Class (MFC) ซึ่งช่วยให้สามารถถอดรหัส และรันโค้ดได้ทันที, การหลีกเลี่ยงการตรวจจับ และขัดขวางการวิเคราะห์
สัญญาณเพิ่มเติมของวิวัฒนาการในกลยุทธ์ เทคนิค และขั้นตอนของกลุ่ม Lazarus ที่ Cisco Talos พบได้แก่ การใช้เครื่องมือ และเฟรมเวิร์กโอเพ่นซอร์ส เช่น Mimikatz สำหรับการขโมยข้อมูลประจำตัว, PuTTY Link (Plink) สำหรับการสร้าง remote tunneling และ DeimosC2 สำหรับ C2 Server โดยวิธีการเหล่านี้ช่วยให้ Lazarus แทบไม่ทิ้งร่องรอยการโจมตี จึงทำให้การติดตาม และการป้องกันทำได้ยากมากขึ้น
ที่มา: bleepingcomputer