El grupo norcoreano Lazarus azota a las organizaciones con dos nuevas RAT
El exoesqueleto de Internet y organizaciones sanitarias de Europa y Estados Unidos, entre los objetivos prioritarios de la campaña habilitada por los nuevos troyanos de acceso remoto.
Uno de los grupos de ciberespionaje más destacados de Corea del Norte ha estado utilizando dos nuevos troyanos de acceso remoto (RAT) en campañas de ataque este año. Así lo han advertido diversos investigadores. Una de las operaciones se centró en la infraestructura troncal de Internet y en organizaciones sanitarias de Europa y Estados Unidos.
"Lazarus Group sigue siendo muy activo, siendo esta su tercera campaña documentada en menos de un año", aseguraron investigadores de Cisco Talos en un nuevo informe . “En septiembre de 2022, Talos publicó detalles de una campaña del Grupo Lazarus dirigida a proveedores de energía en Estados Unidos, Canadá y Japón. Esta campaña, habilitada por la explotación exitosa de la vulnerabilidad Log4j, empleó en gran medida un implante previamente desconocido que llamamos 'MagicRAT' junto con las conocidas familias de malware VSingle, YamaBot y TigerRAT. Todos ellos fueron previamente atribuidos al actor de amenazas por los japoneses y agencias del gobierno coreano”.
Una evolución de MagicRAT
En una campaña de principios de este año, los investigadores de Talos observaron que el grupo implementaba una nueva RAT que parece ser una variante mucho más optimizada de MagicRAT. Los investigadores denominaron al nuevo programa QuiteRAT y lo vieron implementado en ataques que explotaban una vulnerabilidad crítica de ejecución remota de código en ManageEngine ServiceDesk rastreada como CVE-2022-47966.
Lazarus (APT38) es uno de los equipos de piratería estatales del gobierno de Corea del Norte encargado del ciberespionaje y el sabotaje. Sus operaciones se remontan a muchos años atrás, pero también comparte parte del conjunto de herramientas y la infraestructura con otros grupos APT de Corea del Norte.
Según Talos, los atacantes de Lazarus comenzaron a explotar CVE-2022-47966 pocos días después de que un exploit de prueba de concepto estuviera disponible en enero. Una de las víctimas era un proveedor de infraestructura troncal de Internet en Europa cuyo servidor tenía una puerta trasera con un nuevo programa de malware que los investigadores no habían visto antes: QuiteRAT.
QuiteRAT tiene muchas similitudes con MagicRAT, que es una herramienta conocida de Lazarus, pero es mucho más pequeña y carece de un mecanismo de persistencia incorporado. Al igual que MagicRAT, QuiteRAT se creó con el marco Qt, una plataforma de código abierto para desarrollar aplicaciones multiplataforma que ha ganado popularidad por la facilidad de creación de interfaces gráficas de usuario (GUI).
Ninguno de los dos troyanos tiene interfaces gráficas de usuario, por lo que la elección de utilizar Qt para el desarrollo puede parecer extraña. Sin embargo, debido a que hay muy pocos programas maliciosos desarrollados con esta plataforma, la detección y el análisis son más difíciles. Sin embargo, QuiteRAT tiene un tamaño mucho más pequeño en comparación con MagicRAT (4 MB a 5 MB frente a 18 MB) a pesar de implementar una funcionalidad casi idéntica, lo que permite a los atacantes ejecutar comandos y cargas útiles adicionales en el sistema infectado de forma remota.
La diferencia proviene de un proceso de desarrollo más simple donde QuiteRAT sólo incorpora un puñado de bibliotecas Qt necesarias, mientras que MagicRAT agrupa todo el marco, haciéndolo mucho más voluminoso.
Una vez implementado en un sistema, QuiteRAT recopila información básica como direcciones MAC, direcciones IP y el nombre de usuario actual del dispositivo. Luego se conecta a un servidor de comando y control codificado y espera a que se emitan comandos.
Uno de los comandos implementados tiene como objetivo poner el programa de malware en suspensión y dejar de comunicarse con el servidor C2 durante un tiempo específico, probablemente un intento de los atacantes de permanecer sin ser detectados dentro de las redes de las víctimas. Si bien QuiteRAT no tiene un mecanismo de persistencia incorporado, el servidor C2 puede enviar un comando para configurar una entrada de registro para iniciar el malware después del reinicio.
Un segundo troyano de acceso remoto: CollectionRAT
Mientras investigaban los ataques de QuiteRAT, los investigadores de Talos analizaron la infraestructura C2 de Lazarus y encontraron herramientas adicionales, incluido otro programa RAT al que denominaron CollectionRAT. "Descubrimos que QuiteRAT y los agentes DeimosC2 de código abierto utilizados en esta campaña estaban alojados en las mismas ubicaciones remotas utilizadas por el Grupo Lazarus en su campaña anterior de 2022 que implementó MagicRAT", dijeron los investigadores de Talos. "Esta infraestructura también se utilizó para comandar y controlar CollectionRAT, el malware más nuevo en el arsenal del actor".
CollectionRAT parece estar conectado con Jupiter/EarlyRAT, otro programa de malware que fue documentado por CISA y Kaspersky Lab en el pasado en relación con los ciberataques de Corea del Norte. Al igual que QuiteRAT, CollectionRAT se desarrolló utilizando herramientas inusuales, en este caso Microsoft Foundation Class (MFC), una biblioteca legítima que se utiliza tradicionalmente para crear interfaces de usuario para aplicaciones de Windows. MFC se utiliza para descifrar y ejecutar el código de malware sobre la marcha, pero también tiene la ventaja de abstraer las implementaciones internas del sistema operativo Windows y facilitar el desarrollo al mismo tiempo que permite que diferentes componentes trabajen fácilmente entre sí.
Una vez implementado, el implante recopila información de identificación sobre el sistema y la envía al servidor C2. También puede generar un shell inverso a través del cual los atacantes pueden ejecutar comandos arbitrarios, leer y escribir archivos en el disco y ejecutar cargas útiles adicionales.
"El análisis de los indicadores de compromiso (IOC) de CollectionRAT nos permitió descubrir vínculos con EarlyRAT, un implante basado en PureBasic que la firma de investigación de seguridad Kaspersky atribuyó recientemente al subgrupo Andariel", dijeron los investigadores de Talos. “Descubrimos una muestra de CollectionRAT firmada con el mismo certificado utilizado para firmar una versión anterior de EarlyRAT de 2021. Ambos conjuntos de muestras utilizaron el mismo certificado de 'OSPREY VIDEO INC.' con el mismo número de serie y huella digital”.
El uso de herramientas de terceros por parte de Lazarus
Además de los programas maliciosos QuiteRAT y CollectionRAT personalizados, Lazarus también ha dependido de herramientas de terceros en sus operaciones. Un ejemplo es DeimosC2, un marco de comando y control escrito en Golang con capacidades RAT que es similar a marcos posteriores a la explotación como Cobalt Strike y Sliver.
"Descubrimos la presencia de un nuevo implante que identificamos como una baliza del marco de código abierto DeimosC2", comentaron los investigadores de Talos. "A diferencia de la mayoría del malware encontrado en su infraestructura de alojamiento, el implante DeimosC2 era un binario ELF de Linux, lo que indica la intención del grupo de implementarlo durante el acceso inicial a servidores basados ??en Linux".
Otra herramienta que Lazarus alojaba en su infraestructura C2 y que puede usarse para hacer túneles remotos entre los sistemas infectados y el servidor C2 fue PuTTY Link (Plink).
