HC3: Вредоносное ПО Lazaraus Group нацелено на уязвимости ManageEngine систем здравоохранения

Группа Lazaraus, которая, по сообщениям Cisco Talus, нацелена на магистральную интернет-инфраструктуру и организации здравоохранения в Европе и США, разработала вредоносное ПО MagicRAT и развернула троян в течение пяти дней после обнаружения уязвимости в продуктах ManageEngine в январе. Об этом сообщили в Координационном центре кибербезопасности.

ПОЧЕМУ ЭТО ВАЖНО

Группа Lazzarus может использовать уязвимость CVE-2022-47966 (если единый вход SAML включен или когда-либо был включен в настройке ManageEngine) и выполнить удаленное выполнение кода, сообщила HC3 в понедельник в своем отчете. тревога.

С помощью этого эксплойта злоумышленники внедряют трояна удаленного доступа, известного как QuiteRAT, который исследователи безопасности определили в феврале 2023 года как преемника ранее использовавшегося группировкой вредоносного ПО MagicRAT, «который содержит многие из тех же возможностей».

Размер файла QuiteRAT составляет 4 МБ. Ему «не хватает возможности самостоятельно выполнять функции сохранения, и хакерам приходится выполнять эту задачу отдельно», — заявили в HC3.

HC3 также сообщил, что группа теперь использует новый вредоносный инструмент под названием CollectionRAT, «который, похоже, работает так же, как и большинство RAT, позволяя злоумышленнику запускать произвольные команды среди других возможностей». Предполагается, что это вредоносное ПО является частью семейства вредоносных программ Jupiter/EarlyRAT, ранее связанного с подгруппой Lazarus, Andariel.

Следует отметить, что машинное обучение и эвристический анализ менее надежны, поскольку обе RATS построены на менее распространенной платформе Qt, заявили в организации.

ManageEngine выпустил патчи для всех затронутые продукты в октябре 2022 года, согласно индикаторам компрометации информации, на которые ссылается HC3.

БОЛЬШОЙ ТРЕНД

По словам Тери Рипли, директора по информационным технологиям, в 2021 году OrthoVirginia, крупнейшая ортопедическая клиника в штате, была поймана программой-вымогателем Ryuk.

Рипли, выступая на форуме HIMSS по кибербезопасности в Бостоне в начале этого месяца, рассказала: Новости ИТ в сфере здравоохранения о нападении и восстановление. Сотрудник был заражен фишинговым письмом дома на свой личный адрес электронной почты, а затем заразил сеть провайдера при подключении к его виртуальной частной сети.

По ее словам, нападавшие хотели миллионы.

ОртоВирджиния не заплатила, но нужно 18 месяцев – «Специально для того, чтобы радиологические изображения PACS можно было загрузить обратно» – чтобы полностью восстановить их данные, – сказала она.

По ее словам, клинике, принадлежащей врачу, удалось быстро отключить сетевые системы после начала атаки и сохранить некоторые данные в чистоте и незашифрованном виде, но у них не было надежной резервной копии.

ПОД ЗАПИСЬ

«По сообщениям, благодаря этой уязвимости спонсируемая государством группа Lazarus нацелилась на магистральную интернет-инфраструктуру и учреждения здравоохранения в Европе и США», — говорится в сообщении HC3.

Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.