Lazarus Group infrastruktúrájának újrafelhasználása
A Talos kutatói szerint az észak-koreai állam által támogatott szereplő, a Lazarus Group legújabb kampányában a CVE-2022-47966 ManageEngine ServiceDesk sebezhetőségét használja ki több fenyegetés telepítésére. A CollectionRAT trójai hagyományos trójai képességekkel rendelkezik, közte a tetszőleges parancsok futtatását egy fertőzött rendszeren. A Lazarus Group a jelek szerint változtat a taktikáján, egyre inkább a nyílt forráskódú eszközökre és keretrendszerekre támaszkodik a támadások kezdeti hozzáférési szakaszában, szemben azzal, hogy szigorúan alkalmazza azokat a kiegyezést követő szakaszban. Ennek a tendenciának egyik ilyen példája a Lazarus Group által a nyílt forráskódú DeimosC2 keretrendszer használata.
A Cisco Talos azonosított egy új távoli hozzáférésű trójai programot, a CollectionRAT-ot, amelyet az észak-koreai Lazarus Group használ. A CollectionRAT több hagyományos RAT-képességből áll, köztük a tetszőleges parancsok futtatásának és fájlok kezelésének lehetőségét a fertőzött végponton. Az implantátum egy csomagolt Microsoft Foundation Class (MFC) könyvtár alapú Windows binárisból áll, amely visszafejti és menet közben végrehajtja a tényleges kártevő kódot.
A rosszindulatú programok fejlesztői szeretik az MFC használatát, annak ellenére, hogy ez egy összetett, objektumorientált keret. Az MFC, amelyet hagyományosan a Windows-alkalmazások felhasználói felületeinek, vezérlőinek és eseményeinek létrehozására használnak, lehetővé teszi a rosszindulatú programok több összetevőjének zökkenőmentes együttműködését, miközben elvonatkoztatja a Windows operációs rendszer belső megvalósításait a szerzőktől.