Manfaatkan Cacat Kritis Zoho ManageEngine, Lazarus Group Sebarkan Malware QuiteRAT

The Hacker News

Cyberthreat.id - Aktor ancaman Korea Utara yang dikenal sebagai Lazarus Group diamati mengeksploitasi kelemahan keamanan kritis yang berdampak pada Zoho ManageEngine ServiceDesk Plus untuk mendistribusikan trojan akses jarak jauh yang disebut seperti QuiteRAT.

“Targetnya mencakup infrastruktur tulang punggung internet dan entitas layanan kesehatan di Eropa dan Amerika Serikat,” kata perusahaan keamanan siber Cisco Talos dalam analisisnya sebagaimana dikutip The Hacker News.

Terlebih lagi, pemeriksaan lebih dekat terhadap infrastruktur serangan daur ulang milik musuh yang digunakan dalam serangan siber terhadap perusahaan telah mengarah pada penemuan ancaman baru yang dijuluki CollectionRAT.

“Fakta bahwa Lazarus Group terus mengandalkan perdagangan yang sama meskipun komponen-komponen tersebut telah terdokumentasi dengan baik selama bertahun-tahun menggarisbawahi kepercayaan pelaku ancaman terhadap operasi mereka,” kata Talos.

PrettyRAT dikatakan sebagai penerus MagicRAT, yang merupakan tindak lanjut dari TigerRAT, sementara CollectionRAT tampaknya berbagi tumpang tindih dengan EarlyRAT (alias Jupiter), sebuah implan yang ditulis dalam PureBasic dengan kemampuan untuk menjalankan perintah pada titik akhir.

“QuiteRAT memiliki banyak kemampuan yang sama dengan malware MagicRAT yang terkenal dari Lazarus Group, namun ukuran filenya jauh lebih kecil,” kata peneliti keamanan Asheer Malhotra, Vitor Ventura, dan Jungsoo An. “Kedua implan tersebut dibangun pada kerangka Qt dan mencakup kemampuan seperti eksekusi perintah sewenang-wenang.”

Penggunaan kerangka Qt dipandang sebagai upaya yang disengaja dari pihak musuh untuk membuat analisis menjadi jauh lebih menantang karena “meningkatkan kompleksitas kode malware.”

Aktivitas tersebut, yang terdeteksi pada awal tahun 2023, melibatkan eksploitasi CVE-2022-47966, hanya lima hari setelah bukti konsep (Poc) untuk kelemahan tersebut muncul secara online, untuk langsung menyebarkan biner QuiteRAT dari URL berbahaya.

“QuiteRAT jelas merupakan evolusi dari MagicRAT,” kata para peneliti. “Meskipun MagicRAT adalah keluarga malware yang lebih besar dan lebih besar dengan rata-rata berukuran sekitar 18 MB, QuiteRAT adalah implementasi yang jauh lebih kecil, dengan rata-rata berukuran sekitar 4 hingga 5 MB.”

Perbedaan penting lainnya antara keduanya adalah kurangnya mekanisme persistensi bawaan di PrettyRAT, yang mengharuskan perintah dikeluarkan dari server untuk memastikan kelanjutan operasi pada host yang disusupi.

Temuan ini juga tumpang tindih dengan kampanye lain yang ditemukan oleh WithSecure awal bulan Februari ini di mana kelemahan keamanan pada perangkat Zimbra yang belum ditambal digunakan untuk menembus sistem korban dan akhirnya menginstal QuiteRAT.

Cisco Talos mengatakan musuh “semakin bergantung pada alat dan kerangka kerja sumber terbuka pada fase akses awal serangan mereka, dibandingkan hanya menggunakannya pada fase pasca-kompromi.”

Ini termasuk kerangka kerja DeimosC2 sumber terbuka berbasis GoLang untuk mendapatkan akses persisten, dengan CollectionRAT terutama digunakan untuk mengumpulkan metadata, menjalankan perintah sewenang-wenang, mengelola file pada sistem yang terinfeksi, dan mengirimkan muatan tambahan.

Belum jelas bagaimana CollectionRAT disebarkan, namun bukti menunjukkan bahwa salinan utilitas PuTTY Link (Plink) yang di-trojan pada infrastruktur yang sama digunakan untuk membuat terowongan jarak jauh ke sistem dan melayani malware.

“Lazarus Group sebelumnya mengandalkan penggunaan implan yang dibuat khusus seperti MagicRAT, VSingle, Dtrack, dan YamaBot sebagai sarana untuk membangun akses awal yang persisten pada sistem yang berhasil disusupi,” kata para peneliti.

“Implan ini kemudian diinstrumentasi untuk menyebarkan berbagai alat sumber terbuka atau alat penggunaan ganda untuk melakukan banyak aktivitas berbahaya melalui keyboard di jaringan perusahaan yang disusupi.”

Perkembangan ini merupakan tanda bahwa Lazarus Group terus mengubah taktik dan memperluas persenjataan jahatnya, dan pada saat yang sama mempersenjatai kerentanan baru yang terungkap dalam perangkat lunak untuk menimbulkan dampak yang menghancurkan.[]