Группа Lazaraus, которая, по сообщениям Cisco Talus, нацелена на магистральную интернет-инфраструктуру и организации здравоохранения в Европе и США, разработала вредоносное ПО MagicRAT и развернула троян в течение пяти дней после обнаружения уязвимости в продуктах ManageEngine в январе. Об этом сообщили в Координационном центре кибербезопасности.
ПОЧЕМУ ЭТО ВАЖНО
Группа Lazzarus может использовать уязвимость CVE-2022-47966 (если единый вход SAML включен или когда-либо был включен в настройке ManageEngine) и выполнить удаленное выполнение кода, сообщила HC3 в понедельник в своем отчете. тревога.
С помощью этого эксплойта злоумышленники внедряют трояна удаленного доступа, известного как QuiteRAT, который исследователи безопасности определили в феврале 2023 года как преемника ранее использовавшегося группировкой вредоносного ПО MagicRAT, «который содержит многие из тех же возможностей».
Размер файла QuiteRAT составляет 4 МБ. Ему «не хватает возможности самостоятельно выполнять функции сохранения, и хакерам приходится выполнять эту задачу отдельно», — заявили в HC3.
HC3 также сообщил, что группа теперь использует новый вредоносный инструмент под названием CollectionRAT, «который, похоже, работает так же, как и большинство RAT, позволяя злоумышленнику запускать произвольные команды среди других возможностей». Предполагается, что это вредоносное ПО является частью семейства вредоносных программ Jupiter/EarlyRAT, ранее связанного с подгруппой Lazarus, Andariel.
Следует отметить, что машинное обучение и эвристический анализ менее надежны, поскольку обе RATS построены на менее распространенной платформе Qt, заявили в организации.
ManageEngine выпустил патчи для всех затронутые продукты в октябре 2022 года, согласно индикаторам компрометации информации, на которые ссылается HC3.
БОЛЬШОЙ ТРЕНД
По словам Тери Рипли, директора по информационным технологиям, в 2021 году OrthoVirginia, крупнейшая ортопедическая клиника в штате, была поймана программой-вымогателем Ryuk.
Рипли, выступая на форуме HIMSS по кибербезопасности в Бостоне в начале этого месяца, рассказала: Новости ИТ в сфере здравоохранения о нападении и восстановление. Сотрудник был заражен фишинговым письмом дома на свой личный адрес электронной почты, а затем заразил сеть провайдера при подключении к его виртуальной частной сети.
По ее словам, нападавшие хотели миллионы.
ОртоВирджиния не заплатила, но нужно 18 месяцев – «Специально для того, чтобы радиологические изображения PACS можно было загрузить обратно» – чтобы полностью восстановить их данные, – сказала она.
По ее словам, клинике, принадлежащей врачу, удалось быстро отключить сетевые системы после начала атаки и сохранить некоторые данные в чистоте и незашифрованном виде, но у них не было надежной резервной копии.
ПОД ЗАПИСЬ
«По сообщениям, благодаря этой уязвимости спонсируемая государством группа Lazarus нацелилась на магистральную интернет-инфраструктуру и учреждения здравоохранения в Европе и США», — говорится в сообщении HC3.
Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.
2023-09-21 15:32:05
1695332495
#HC3 #Вредоносное #ПО #Lazaraus #Group #нацелено #на #уязвимости #ManageEngine #систем #здравоохранения