Lazarus APT exploits Zoho ManageEngine flaw to target an Internet backbone infrastructure provider
2023/08/24 SecurityAffairs — 北朝鮮が関与する APT グループ Lazarus は、Zoho の ManageEngine ServiceDesk に存在する脆弱性 CVE-2022-47966 悪用し、インターネット・バックボーン・インフラ・プロバイダーや医療機関を狙った攻撃を仕掛けている。この、国家に支援されたハッカーは、欧州と米国の組織を標的として、PoC エクスプロイトが公開された僅か数日後に、この脆弱性を悪用し始めた。この欠陥を悪用する Lazarus は、QuiteRAT として追跡されている新しいマルウェアを展開している。セキュリティ研究者が、このインプラントを発見したのは2023年2月のことだった。
QuiteRAT は、Lazarus が使ってきたマルウェア MagicRAT と、同じ機能をサポートしているが、ファイルサイズが著しく小さいと専門家は指摘している。どちらのインプラントも、Qt Framework を使って書かれており、リモート・コマンド実行をサポートしている。
この Qt Framework の使用により、マルウェアの検出および、コード解析が難しくなるという。
Talos の研究者たちはレポートで、「2023年の初めに、Lazarus Group が欧州のインターネット・バックボーン・インフラ・プロバイダーを侵害し、QuiteRAT の展開に成功したことを確認した。同グループは、イニシャル・アクセス獲得のために、脆弱な ManageEngine ServiceDesk インスタンスを悪用した。悪用に成功すると、Java ランタイム・プロセスを介して悪意のバイナリが直ちにダウンロードされ、実行された」と詳述している。
Lazarus は、cURL コマンドを使用して、悪意の URL から QuiteRAT バイナリを展開する。
バイナリがダウンロードされると、Java プロセスによって QuiteRAT バイナリが実行され、感染したサーバー上のインプラントが起動する。起動したインプラントは、予備的なシステム情報を C2 に送信し、コマンドの実行を待つ。
研究者たちは、Lazarus Group APT が CollectionRAT という新しいマルウェアを使用しているのも発見した。
CollectionRAT は RAT (Remote Access Trojan) で、感染したシステム上で任意のコマンド実行を可能にするものだ。この CollectionRAT について研究者たちは、Lazarus Group のサブグループ Andariel APT が使用する、マルウェア Jupiter/EarlyRAT と関連付けている。
Lazarus Group の手口は変化し続けており、イニシャル・アクセスの段階ではオープンソースのツールやフレームワーク (オープンソースの DeimosC2 フレームワークなど) に依存していると、研究者たちは指摘している。
Talos のレポートには、「Lazarus Group は、リバース・トンネリング・ツールの PuTTY Link (Plink) という、もう1つのオープンソース・ツールも使用している。我々は以前に、同グループが Plink を使用して、リモート・トンネルを確立したのを発見した」と記されている。
Talos の報告によると、Lazarus APT は同じインフラの使い続ける場合が多く、同じ TTP (Tactics, Techniques and Procedures) を採用していると報告している。CollectionRAT マルウェアは、これらの再利用されたインフラ・コンポーネントの追跡/分析の結果として発見された。
研究者たちは、この最近の攻撃の IOC を Github リポジトリで公開している。
Zoho の ManageEngine の脆弱性 CVE-2022-47966 が、Lazarus Group に狙われているとのことですが、2023/01/23 の時点で CISA KEV に追加され、2023/02/23 の時点で PoC 悪用が始まっていました。よろしければ、Zoho で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.