Il famoso gruppo Lazarus della Corea del Nord ha recentemente lanciato un nuovo e sofisticato Trojan di accesso remoto (RAT) chiamato “QuiteRAT”, mirato principalmente alle organizzazioni sanitarie e a una società di infrastruttura Internet.
Dettagli sul QuiteRAT
QuiteRAT è una versione avanzata di un altro RAT precedentemente utilizzato dal gruppo nel 2022, denominato “MagicRAT”, che a sua volta era un seguito del “TigerRAT” del 2021. Questo nuovo RAT ha la capacità di raccogliere informazioni sulla macchina ospite e sull’utente, oltre a eseguire comandi. Con una dimensione di soli quattro-cinque megabyte, è quasi impercettibile all’interno di una rete target.
La caratteristica distintiva di QuiteRAT è che è costruito su Qt, un framework per la progettazione di interfacce utente grafiche (GUI). Questo framework viene utilizzato come una sorta di “costume” per eludere gli strumenti di rilevamento del malware.
Nel febbraio scorso, pochi giorni dopo la divulgazione di prove di compromissione relative alla vulnerabilità di esecuzione di codice remoto (RCE) classificata come “Critica” 9.8, denominata CVE-2022-47966, il gruppo Lazarus ha sfruttato ManageEngine ServiceDesk per infiltrarsi in organizzazioni sanitarie negli Stati Uniti e nel Regno Unito, nonché in un fornitore di infrastrutture di backbone Internet con sede nel Regno Unito. Durante questi attacchi, QuiteRAT è stato messo alla prova per la prima volta.
Analisi del QuiteRAT
Rispetto al suo predecessore, MagicRAT, che aveva una dimensione di 18 megabyte, QuiteRAT è molto più compatto, con una dimensione media di soli 4-5 megabyte. Questa riduzione delle dimensioni è stata possibile grazie all’eliminazione di molte librerie non essenziali presenti nel framework Qt, mantenendo solo quelle strettamente necessarie.
Entrambi i RAT, MagicRAT e QuiteRAT, una volta infiltrati in una macchina, eseguono una limitata ricognizione prima di piantare una shell remota, concedendo ai loro proprietari la capacità di modificare, spostare, eliminare file o eseguire comandi arbitrari.
Sebbene non sia ancora chiaro se QuiteRAT verrà utilizzato in ulteriori campagne in futuro, la preoccupazione maggiore potrebbe essere che le sue innovative tecniche possano ispirare altri attori minacciosi in futuro. Gli attori delle minacce meno sofisticati potrebbero adottare strumenti, tecniche e tattiche simili, aumentando la diffusione di RAT basati su framework come Qt.