北韩黑客组织Lazarus Group利用ManageEngine ServiceDesk漏洞进行攻击

主要观察要点

Lazarus Group利用ManageEngine ServiceDesk的漏洞对位于英国的一家中型互联网基础服务提供商以及多家欧洲和美国的医疗机构发动攻击。该攻击是Lazarus在一年内的第三个已知行动，并且此威胁组织在行动中重复使用相同的基础设施。新的威胁QuiteRAT和CollectionRAT展示了Lazarus Group的演变与灵活性，并且可以通过使用开源工具来增加攻击的隐蔽性。

北韩政府支持的威胁行为者Lazarus Group 被发现在利用ManageEngine ServiceDesk的漏洞来对英国一家中型互联网基础服务提供商以及多个医疗机构进行攻击。根据Cisco Talos的研究团队在8月24日的部落格文章中所述，这是Lazarus在不到一年的时间内发起的第三次已知行动，且该威胁行为者在这些操作中重复使用相同的基础设施。

Cisco Talos的威胁研究员Asheer Malhotra表示：“Lazarus是一个高度动机驱动的威胁行为者，其操作目的是为了进行间谍活动、数据盗窃以及为北韩获取经济利益。这次针对ManageEngine ServiceDesk应用程序的攻击证明Lazarus越来越多地利用已知漏洞来针对那些未能及时修补其面向互联网系统的企业。”

Malhotra指出，尽管Lazarus不断生成新的植入程式以帮助他们避开传统的检测机制，但在这次行动中，他们重复使用了先前的基础设施，这为安全团队提供了新的追踪Lazarus的机会。

在这次行动中，Malhotra提到攻击者利用了一种远程访问木马(RAT)来利用一个关键的ManageEngine ServiceDesk漏洞CVSS 98CVE202247966在概念验证POC被公布的五天后，传送一种新的恶意软件威胁，研究人员称之为QuiteRAT。据了解，QuiteRAT首次被发现于二月份，但自那以后却鲜少有相关的报导。

加速npv下载

Malhotra解释道，QuiteRAT具有与Lazarus Group的更知名的MagicRAT恶意软件 相似的功能，但其档案大小显著较小。这两种植入程式均基于Qt框架构建，并包含随意命令执行等功能。

在针对ManageEngine ServiceDesk漏洞的研究中，Malhotra表示，研究人员还发现了一种新的、第三种恶意软件：CollectionRAT。他们在第二篇8月24日的部落格中详细介绍了这种恶意软件。Malhotra指出，CollectionRAT与QuiteRAT和MagicRAT完全不同，并使用微软的MFC框架来实现其功能。

“QuiteRAT和CollectionRAT都具备接受来自指挥与控制伺服器的随意命令并在受感染系统上执行它们的能力，”Malhotra表示，“这些植入程式还可以用于部署额外的恶意软件和多用途工具，以进一步扩大