В арсенале северокорейской группировки Lazarus Group появился новый вредонос

Согласно отчету Cisco Talos , впервые MagicRAT был замечен в сетях жертв, которые использовали подключенные к интернету серверы VMware Horizon. По словам исследователей, троян был создан с помощью фреймворка Qt, чтобы затруднить анализ и снизить вероятность обнаружения системами безопасности.

Чтобы закрепиться в системе, троян создает запланированные задачи. Функционал у MagicRat довольно прост – вредонос предоставляет злоумышленникам удаленную оболочку, позволяющую выполнять произвольные команды и манипулировать файлами жертвы.

Из дополнительных функций трояна стоит отметить возможность запуска дополнительных полезных нагрузок на зараженных узлах. Полезные нагрузки поставляются с C&C-сервера хакеров вместе с GIF-файлом, который является облегченным сканером портов.

Кроме того, C&C-инфраструктура, связанная с MagicRAT, содержит в себе новые версии бэкдора TigerRAT, который разработан группировкой Andariel и предназначен для выполнения произвольных команд на устройстве жертвы, создания скриншотов, кейлоггинга и сбора системной информации. Стоит отметить, что в последней версии TigerRAT появилась функция, позволяющая злоумышленникам находить файлы с определенными расширениями.

Исследователи из Cisco Talos считают, что MagicRAT – знак того, что группировка Lazarus стремится быстро создавать новые, незаметные вредоносные программы, чтобы объединять их с другими вредоносами и совершать разрушительные атаки на организации по всему миру.