СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
25.08.2023
#ИБ

Cisco Talos: северокорейские хакеры с помощью эксплойта ManageEngine взламывают интернет-компании

Cisco Talos: северокорейские хакеры с помощью эксплойта ManageEngine взламывают интернет-компании

Изображение: Azamat E (unsplash)

Специалисты по информационной безопасности из Cisco Talos заявили о высокой активности хакерской группировки Lazarus Group из Северной Кореи. Эта группа эксплуатирует критическую уязвимость CVE-2022-47966 в продукте ManageEngine ServiceDesk компании Zoho, сообщает Bleeping Computer.

Такие кибератаки, по словам экспертов Cisco Talos, представляют особую угрозу для поставщиков основной интернет-инфраструктуры и организаций в сфере здравоохранения.

Исследователи также уточнили, что активность хакеров из Lazarus в этом направлении началась в январе 2023 года. Основной фокус киберпреступников был направлен на американские и британские компании с целью дальнейшего развертывания вредоносного программного обеспечения QuiteRAT в ИТ-инфраструктуре целевых компаний. Среди вредоносных программ, используемых хакерами, также был выявлен троян удаленного доступа, который эксперты Cisco Talos назвали CollectionRAT.

По словам специалистов, первые кибератаки в рамках этой операции на британские интернет-компании были зафиксированы в начале 2023 года. В тот момент хакерская группировка Lazarus Group эксплуатировала уязвимость CVE-2022-47966, которая позволяет удаленно выполнять код. Эта уязвимость затрагивает несколько продуктов Zoho Manage Engine.

В Cisco Talos также подчеркнули, что хакерская группа Lazarus Group начала использовать эту уязвимость всего несколько дней после того, как эксплойт стал общедоступным. Отмечается, что хакеры активно использовали этот эксплойт в своих кибератаках, о чем сообщали и специализированные компании по кибербезопасности, включая Rapid7, ShadowServer и GreyNoise.

Американское агентство по кибербезопасности и защите инфраструктуры (CISA) отправило соответствующие предупреждения организациям из США относительно этой киберугрозы. Описанный троян удаленного доступа QuiteRAT, который был обнаружен в 2023 году, характеризуется как простой, но мощный. Он, вероятно, является усовершенствованной версией старого трояна MagicRAT, который использовался во второй половине 2022 года для атак на американские, японские и канадские энергетические компании.

Аналитики Cisco Talos указали и на то, что новый код трояна QuiteRAT стал более компактным, а тщательный отбор библиотек QT позволил сократить его размер с 18 МБ до 4 МБ, при этом сохранив всю функциональность.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: