北朝鮮ハッカー集団「 ラザルス 」、Zoho「ManageEngine」の脆弱性をエクスプロイト

セキュリティメディアのハッカーニュースによると、北朝鮮のハッキンググループ「 ラザルス 」がZohoのManageEngineで発見された高危険度の脆弱性をエクスプロイト中だそうです。調査の結果、リモートアクセス用マルウェアのQuiteRATを流布することが明らかになりました。これを追跡したCiscoのTalosによると、ターゲットは欧米のインフラ・医療に関する組織だそうです。また、CollectionRATという新しいマルウェアが用いられていることもこのキャンペーンで発見されました。

QuiteRATはMagicRATを継ぐとみられるマルウェアであり、CollectionRATはEarlyRATといろんな面で似ている姿が示されています。今度のキャンペーンでエクスプロイトされている脆弱性はCVE-2022-47966で、ラザルスはこの脆弱性の概念を実証するためのエクスプロイトコードが公開されてから5日経った時点からキャンペーンを始めたそうです。

関連してTalos側は「MagicRATは ラザルス が前から使ってきたマルウェアで、平均の容量は18MBでした。QuiteRATはMagicRATから発展されたようにみえるが、容量が4～5MBに過ぎないです。」と語りました。