朝鲜政府拥有的的臭名昭著的黑客组织正在使用一种新型恶意软件攻击欧洲和美国的医疗实体和互联网骨干基础设施。思科塔洛斯公司（Cisco Talos）的安全研究人员发布了两份报告，概述了长期存在的拉扎罗斯（Lazarus）黑客组织的一系列事件，该组织因涉嫌在 2022 年窃取价值 17 亿美元的加密货币而成为头条新闻。

研究人员解释说："这是在不到一年的时间里发生的第三起记录在案的行动，在这些行动中，该行动者重复使用了相同的基础设施，"他们补充说，这些事件涉及利用影响 ManageEngine ServiceDesk 的漏洞。报告没有指明黑客攻击活动的具体目标。

据该公司称，ManageEngine 套件被数百家企业（包括每 10 家财富 100 强企业中的 9 家）用于 IT 基础设施、网络、服务器、应用程序、端点等。今年 1 月，该产品背后的公司宣布了这一漏洞（编入 CVE-2022-47966 目录），安全公司警告说，黑客正在利用这一漏洞。

(资料图片仅供参考)

思科塔洛斯（Cisco Talos）称，攻击者从 2 月份开始利用该漏洞部署一种更新、更复杂的恶意软件，研究人员将其追踪为 QuiteRAT，它与 Lazarus 使用的其他恶意软件有许多相同的功能，但防御者更难检查和捕获。研究人员称，在攻击的初始访问阶段，黑客还使用了开源工具和框架。

该恶意软件允许黑客收集有关受感染设备的数据，它还有一个功能，可以在预定时间内"休眠"，使其在被入侵的网络中保持休眠状态。

QuiteRAT 比其前身 MagicRAT 小得多，Lazarus 黑客于 2022 年 4 月首次公布了 MagicRAT。QuiteRAT 的大小只有 4 到 5 MB，部分原因是它不具备在受害网络上持续运行的能力。思科塔洛斯公司说，黑客必须在事后推送单独的持久能力。

"植入程序之间存在相似之处，表明 QuiteRAT 是 MagicRAT 的衍生产品。"研究人员说："除了基于 Qt 框架之外，这两种植入程序还具有相同的能力，包括在受感染系统上运行任意命令。CollectionRAT具有标准的远程访问木马（RAT）功能，包括在受感染系统上运行任意命令的能力。"

Cisco Talos 将 CollectionRAT 与 Lazarus Group 内部一个名为 Andariel 的部门联系起来。研究人员发现多种迹象表明，黑客们正在"改变战术"，并在改进他们的伎俩时越来越依赖开源工具。

研究人员说，该组织越来越肆无忌惮，而且似乎并不在意重复使用全球许多安全公司和政府发现的相同基础设施、战术、技术和程序。

思科塔洛斯公司（Cisco Talos）指出，这是该公司去年追踪到的第三次"Lazarus"行动，其中包括去年 9 月涉及美国、加拿大和日本能源供应商的事件。

几位网络安全专家说，使用开源工具令人担忧，因为它混淆了归属，使利用过程变得更快。

Critical Start 公司的网络威胁研究高级经理 Callie Guenther 说，使用开源工具可以让黑客们少举红旗，跳过从头开始开发能力的过程。

Guenther 解释说，许多用于合法防御和进攻任务的开源工具也有已知的成功率，并由安全社区成员不断改进，因此适应性更强。

Vulcan Cyber 联合创始人亚尼夫-巴尔-达扬（Yaniv Bar-Dayan）说，入侵系统管理软件和使用基于开源工具的恶意软件是"一举两得"的事。他说："像 ManageEngine 这样的系统管理工具可以前所未有地访问企业的基础设施，而开源软件在软件供应链中无处不在。"

标签：