O grupo APT patrocinado pelo estado norte-coreano, Lazarus, lançou uma nova campanha visando infraestruturas críticas de internet e organizações de saúde na Europa e nos EUA.

A Cisco Talos informou que os ataques começaram explorando uma vulnerabilidade no ManageEngine ServiceDesk (CVE-2022-47966).

O exploit foi usado para estabelecer acesso inicial, levando ao download e execução imediatos de um binário malicioso através do processo Java runtime. Isso iniciou o implante no servidor comprometido.

O binário é uma versão modificada do malware MagicRAT do grupo, agora chamado de QuiteRAT. O malware foi construído usando o framework Qt e é notavelmente menor em tamanho em comparação com o MagicRAT.

Esta é a terceira campanha oficialmente documentada atribuída ao grupo Lazarus nos primeiros meses de 2023. O grupo tem consistentemente reutilizado a mesma infraestrutura em todas essas operações.

O Lazarus Group também introduziu um novo malware chamado CollectionRAT nesta campanha. Este RAT é capaz de executar comandos arbitrários em um sistema comprometido.