朝鮮政府擁有的的臭名昭著的黑客組織正在使用一種新型惡意軟件攻擊歐洲和美國的醫療實體和互聯網骨乾基礎設施。思科塔洛斯公司（Cisco Talos）的安全研究人員發布了兩份報告，概述了長期存在的拉扎羅斯（Lazarus）黑客組織的一系列事件，該組織因涉嫌在2022 年竊取價值17 億美元的加密貨幣而成為頭條新聞。

研究人員解釋說：”這是在不到一年的時間裡發生的第三起記錄在案的行動，在這些行動中，該行動者重複使用了相同的基礎設施，”他們補充說，這些事件涉及利用影響ManageEngine ServiceDesk 的漏洞。報告沒有指明黑客攻擊活動的具體目標。

據該公司稱，ManageEngine 套件被數百家企業（包括每10 家財富100 強企業中的9 家）用於IT 基礎設施、網絡、服務器、應用程序、端點等。今年1 月，該產品背後的公司宣布了這一漏洞（編入CVE-2022-47966 目錄），安全公司警告說，黑客正在利用這一漏洞。

思科塔洛斯（Cisco Talos）稱，攻擊者從2 月份開始利用該漏洞部署一種更新、更複雜的惡意軟件，研究人員將其追踪為QuiteRAT，它與Lazarus 使用的其他惡意軟件有許多相同的功能，但防御者更難檢查和捕獲。研究人員稱，在攻擊的初始訪問階段，黑客還使用了開源工具和框架。

該惡意軟件允許黑客收集有關受感染設備的數據，它還有一個功能，可以在預定時間內”休眠”，使其在被入侵的網絡中保持休眠狀態。

QuiteRAT 比其前身MagicRAT 小得多，Lazarus 黑客於2022 年4 月首次公佈了MagicRAT。QuiteRAT 的大小只有4 到5 MB，部分原因是它不具備在受害網絡上持續運行的能力。思科塔洛斯公司說，黑客必須在事後推送單獨的持久能力。

“植入程序之間存在相似之處，表明QuiteRAT 是MagicRAT 的衍生產品。”研究人員說：”除了基於Qt 框架之外，這兩種植入程序還具有相同的能力，包括在受感染系統上運行任意命令。CollectionRAT具有標準的遠程訪問木馬（RAT）功能，包括在受感染系統上運行任意命令的能力。”

Cisco Talos 將CollectionRAT 與Lazarus Group 內部一個名為Andariel 的部門聯繫起來。研究人員發現多種跡象表明，黑客們正在”改變戰術”，並在改進他們的伎倆時越來越依賴開源工具。

研究人員說，該組織越來越肆無忌憚，而且似乎並不在意重複使用全球許多安全公司和政府發現的相同基礎設施、戰術、技術和程序。

思科塔洛斯公司（Cisco Talos）指出，這是該公司去年追踪到的第三次”Lazarus”行動，其中包括去年9 月涉及美國、加拿大和日本能源供應商的事件。

幾位網絡安全專家說，使用開源工具令人擔憂，因為它混淆了歸屬，使利用過程變得更快。

Critical Start 公司的網絡威脅研究高級經理Callie Guenther 說，使用開源工具可以讓黑客們少舉紅旗，跳過從頭開始開發能力的過程。

Guenther 解釋說，許多用於合法防禦和進攻任務的開源工具也有已知的成功率，並由安全社區成員不斷改進，因此適應性更強。

Vulcan Cyber 聯合創始人亞尼夫-巴爾-達揚（Yaniv Bar-Dayan）說，入侵系統管理軟件和使用基於開源工具的惡意軟件是”一舉兩得”的事。他說：”像ManageEngine 這樣的系統管理工具可以前所未有地訪問企業的基礎設施，而開源軟件在軟件供應鏈中無處不在。”