Lazarus mit neuer Malware QuiteRAT

Laut einem Forschungsteam von Cisco Talos nutzt die Lazarus-Gruppierung ein neues RAT-Programm. Dabei handelt es sich offenbar um eine wesentlich schlankere Variante von MagicRAT, genannt QuiteRAT mit vergleichbarem Funktionsumfang. Um die neue Malware einzuschleusen, nutzen Angreifende eine kritische Sicherheitslücke in der Zoho ManageEngine ServiceDesk (CVE-2022-47966) aus.

Laut Forschungsbericht haben es die Angreifenden auf Backbone-Infrastrukturen sowie Gesundheitsorganisationen in Europa und den USA abgesehen. Mit der Ausnutzung der Schwachstelle begann Lazarus innerhalb weniger Tage, nachdem ein Proof-of-Concept-Exploit verfügbar war. Eines der Opfer ist Anbieter von Internet-Backbone-Infrastrukturen in Europa, dessen Server mit QuiteRAT infiltriert wurde.

Lazarus ist nach wie vor sehr aktiv. Dies ist bereits die dritte dokumentierte Kampagne in weniger als einem Jahr. Die Gruppierung ist in erster Linie finanziell motiviert und trägt hauptsächlich zu Nordkoreas Waffenentwicklungsprogrammen bei. Allerdings war die Gruppe auch in mehrere Spionageoperationen verwickelt.

Es wird empfohlen, die bekannten Indikatoren zu sperren (siehe Link unten).