L’anno 2019 è stato prolifico per il gruppo Lazarus che ha iniziato la sua attività militare con una campagna condotta con l’intenzione di rubare segreti militari e commerciali ad una società di difesa israeliana che ha scoperto la campagna il 7 marzo 2019.
Secondo Clearsky, l’azienda era fornitrice di prodotti utilizzati nell’industria militare e aerospaziale ed è stata scoperta da un dipendente che aveva ricevuto una mail di un collega in lingua ebraica poco corretta, in cui gli hacker hanno impiantato il malware maligno Rising Sun backdoor per lanciare l’attacco. Per questo, il gruppo Lazarus ha sfruttato una vulnerabilità – CVE-2018-20250 – nel software di archiviazione file WinRAR non aggiornato. L’analisi del codice sorgente mostrava che il malware era in grado di bypassare le protezioni di filtraggio delle e-mail.
Nel marzo 2019 si è registrato un nuovo attacco informatico sulla scia dell’operazione Apple Jeus che ha portato alla compromissione dei sistemi Mac grazie ad un prodotto non solo sofisticato, ma anche capace di innovarsi e di disperdere le proprie tracce. Sono stati identificati cambiamenti significativi alla metodologia di attacco del gruppo, nel caso degli utenti macOS, il gruppo Lazarus ha sviluppato un malware per la piattaforma autoprodotto, al quale ha aggiunto un meccanismo di autenticazione per consegnare il payload della fase successiva con molta attenzione perché riusciva a caricare l’agente infettivo della fase seguente senza toccare il disco. Inoltre, per attaccare gli utenti di Windows, hanno elaborato una procedura di infezione a più stadi e cambiato significativamente il payload finale. Dopo il rilascio di Operation AppleJeus, il gruppo, ha impiegato una serie di metodi per evitare di essere rilevato ed ha continuato a utilizzare un modus operandi simile per compromettere le imprese di criptovaluta reiterando azioni mirate per procurare fondi al Governo e l’attore ha:
- usato GitHub per ospitare le sue applicazioni dannose.
- ha usato Object-C invece del framework QT nel suo malware per macOS.
- ha implementato nel malware una semplice funzione backdoor nell’eseguibile di macOS.
- ha cifrato/decifrato nel malware con una chiave XOR a 16 byte (X,%`PMk-Jj8s+6=) simile al caso precedente.
- nella versione Windows del malware ha utilizzato ADVobfuscator, un offuscatore di tempo compilato, al fine di nascondere il suo codice.
È stato identificato un altro attacco mirato a macOS con l’applicazione dannosa UnionCryptoTrader.
Il blog di Objective-See ha spiegato la funzionalità del malware, riassumendo l’attacco:
- Lo script post-installazione è identico a quello utilizzato nel caso JMTTrading.
- L’autore del malware ha usato SWIFT per sviluppare questo malware per macOS.
- L’autore del malware ha cambiato il metodo di raccolta delle informazioni dal sistema infetto.
- Il malware inizia a condurre l’autenticazione utilizzando i parametri auth_signature e auth_timestamp al fine di consegnare il payload del secondo stadio con più attenzione. Il malware acquisisce l’ora corrente del sistema e la combina con la stringa hardcoded “12GWAPCT1F0I1S14”, e produce un hash MD5 della stringa combinata. Questo hash è usato come valore del parametro auth_signature e l’ora corrente è usata come valore del parametro auth_timestamp. L’operatore malware può riprodurre il valore auth_signature sulla base del auth_timestamp sul lato server C2.
- Il malware carica il payload dello stadio successivo senza toccare il disco.
Le vittime sono state registrate nel Regno Unito, Polonia, Russia e Cina e molte erano legate a entità commerciali di criptovaluta.
Nell’aprile del 2019 è emerso uno spyware del gruppo in grado di connettersi in modo sicuro a un server di controllo e caricare file rubati dalla macchina infetta. Conosciuto come “Hoplight”, il malware era una raccolta di nove file, anche se la maggior parte di questi sono stati progettati per funzionare come strati di offuscamento per mantenere quanto più a lungo la persistenza dai controlli degli amministratori e del software di sicurezza utilizzato per individuare l’attacco.
“Sette di questi file sono applicazioni proxy che mascherano il traffico tra il malware e gli operatori remoti”, ha detto US-Cert nel suo report“I proxy hanno la capacità di generare false sessioni TLS handshake utilizzando certificati SSL pubblici validi, mascherando le connessioni di rete con attori maligni remoti”.
Sotto questi sette livelli di proxy, Hoplight usava il suo certificato SSL valido per creare la connessione sicura, poi un ultimo nono file cercava di creare una connessione in uscita al server di controllo per trasmettere le informazioni rubate. Il certificato sembra essere un certificato SSL pubblico di Naver, un motore di ricerca e fornitore di servizi coreano.
All’interno del pacchetto di file, secondo US-Cert, il pacchetto malware era in grado di eseguire una serie di attività di controllo remoto e spyware. Questo includeva la capacità di leggere e scrivere file locali, creare, terminare o modificare i processi in esecuzione e le impostazioni del registro di sistema, e connettersi a un host remoto per caricare e scaricare file.
Il gruppo ha tipicamente utilizzato tecniche di spear-phishing per ottenere l’installazione del suo malware su obiettivi stranieri.
Nel maggio del 2019 il Department of Homeland Security (DHS) ha sviluppato un rapporto di tipo “Malware Analysis Report (MAR)” scaturito dagli sforzi analitici del DHS e del Federal Bureau of Investigation (FBI). Lavorando con i partner del governo degli Stati Uniti, DHS e FBI hanno identificato una variante di malware utilizzata dal governo nordcoreano identificato come ELECTRICFISH.
L’analisi riguardava un file eseguibile maligno per Windows 32bit che implementava un protocollo personalizzato che consentiva di creare un tunnel per il traffico tra un indirizzo IP sorgente e uno di destinazione. Il malware tentava continuamente di raggiungere la fonte e il sistema di designazione, il che permetteva a entrambe le parti di avviare una sessione di tunneling, grazie alla capacità del malware di essere configurato con un server/port proxy e un nome utente e una password proxy.
Questa caratteristica permetteva la connettività a un sistema che si trovava all’interno di un server proxy, che a sua volta consentiva all’attore di bypassare l’autenticazione richiesta dal sistema compromesso per raggiungere l’esterno della rete.
Nello stesso mese emergeva la scoperta di una intercettazione dei pagamenti online degli acquirenti americani ed europei mostrata da Sansec. Lazarus è irrotta nei negozi online di grandi rivenditori statunitensi ed ha piantato skimmer di pagamento già nel maggio 2019. In precedenza, l’attività di hacking nordcoreana era per lo più limitata alle banche e ai mercati di criptovalute, operazioni informatiche segrete che hanno fruttato ai militari parastatali 2 miliardi di dollari, secondo un rapporto delle Nazioni Unite del 2019. Come ha mostrato la nuova ricerca di Sansec, ora hanno esteso il loro portafoglio con il redditizio crimine dello skimming digitale.
Lo skimming digitale, noto anche come Magecart, è l’intercettazione delle carte di credito durante gli acquisti nei negozi online. Questo tipo di frode è cresciuta dal 2015 ed era tradizionalmente dominato da gruppi di hacker di lingua russa e indonesiana fino all’arrivo dei nordcoreani.
Per intercettare le transazioni, un attaccante deve modificare il codice del computer che gestisce un negozio online. HIDDEN COBRA è riuscito a ottenere l’accesso al codice del negozio di grandi rivenditori come la catena internazionale di moda Claire’s. Pare che HIDDEN COBRA abbia ottenuto l’accesso usando attacchi di spearphishing per ottenere le password del personale dei negozi.
- Usando l’accesso non autorizzato, HIDDEN COBRA iniettava il suo script maligno nella pagina di checkout del negozio.
- Lo skimmer aspettava la pressione dei tasti dei clienti ignari.
- Una volta che il cliente completa la transazione, i dati intercettati come i numeri delle carte di credito vengono inviati a un server di raccolta controllato da HIDDEN COBRA.
Curiosamente, HIDDEN COBRA ha usato i siti di un’agenzia di modelle italiana e di un negozio di musica vintage di Teheran per eseguire la sua campagna globale di skimming.
Per monetizzare le operazioni di skimming, HIDDEN COBRA ha sviluppato una rete globale di esfiltrazione. Questa rete utilizzava siti legittimi, che sono stati dirottati e riproposti per servire come travestimento per l’attività criminale. La rete veniva anche utilizzata per incanalare i beni rubati in modo che potevano essere venduti sui mercati del dark web. Sansec ha identificato una serie di questi nodi di esfiltrazione, che includono un’agenzia di modelle di Milano, un negozio di musica vintage di Teheran e un negozio di libri a conduzione familiare del New Jersey.
Nei mesi successivi, Sansec ha scoperto lo stesso malware su diverse decine di negozi. Ogni volta, usavano uno di questi siti dirottati come caricatore e raccoglitore di carte:
- stefanoturco.com (tra il 2019-07-19 e il 2019-08-10)
- technokain.com (tra il 2019-07-06 e il 2019-07-09)
- darvishkhan.net (tra il 2019-05-30 e il 2019-11-26)
- areac-agr.com (tra il 2019-05-30 e il 2020-05-01)
- luxmodelagency.com (tra il 2019-06-23 e il 20
Alla fine del 2018 è stata scoperta una serie di attacchi mirati contro aziende aerospaziali e militari in Europa e nel Medio Oriente. In seguito alla scoperta, gli attacchi sono stati soprannominati Operation In(ter)ception sulla base di un campione di malware correlato chiamato “Inception.dll“, hanno avuto luogo da settembre a dicembre 2019. Erano altamente mirati e si basavano sull’ingegneria sociale tramite LinkedIn e su un malware personalizzato e multistadio. Per operare sotto i radar, gli aggressori hanno spesso ricompilato il loro malware, abusando delle utility native di Windows e impersonato software e aziende legittime con un malware personalizzato utilizzato nell’Operazione In(ter)ception non precedentemente documentato.
L’obiettivo primario dell’operazione era lo spionaggio. Tuttavia, in uno dei casi indagati, gli aggressori hanno cercato di monetizzare l’accesso all’account e-mail di una vittima attraverso un attacco BEC (business email compromise) come fase finale dell’operazione.
Nonostante ci siano forti prove che collegano gli attacchi a un noto attore di minacce, si sono scoperti diversi indizi che suggeriscono un possibile collegamento al gruppo Lazarus, comprese le somiglianze nel targeting, ambiente di sviluppo e tecniche anti-analisi utilizzate.
Gli attacchi di Operation In(ter)ception sono progrediti attraverso diverse fasi:
Gli aggressori hanno utilizzato LinkedIn per prendere di mira i dipendenti delle aziende scelte. Per agganciarli, hanno contattato gli obiettivi con offerte di lavoro fittizie utilizzando la funzione di messaggistica LinkedIn. Per apparire credibili, gli aggressori si sono spacciati per rappresentanti di note aziende esistenti nel settore aerospaziale e della industria della difesa. Per ciascuna delle aziende prese di mira su cui abbiamo indagato, gli aggressori avevano creato un falso account LinkedIn separato uno che impersonava un manager delle risorse umane della Collins Aerospace, l’altro si spacciava per un rappresentante delle risorse umane di General Dynamics, un’altra grande azienda statunitense con un obiettivo simile.
Il 25 ottobre 2019, un file ELF sospetto (80c0efb9e129f7f9b05a783df6959812) è stato segnalato dal nostro sistema di monitoraggio delle minacce sviluppato da Netlab. A prima vista, sembrava essere solo un’altra delle normali botnet, ma presto ci si è resi conto che si trattava di qualcosa con un potenziale collegamento al Lazarus Group. Al momento, si riscontravano esempi di attacchi e casi di Lazarus Group contro la piattaforma Linux e l’analisi mostrava che questo programma completamente funzionale, nascosto e RAT, era rivolto a piattaforme Windows e Linux e condivideva alcuni caratteri chiave utilizzati da Lazarus Group.
Dacls è stato al tempo un nuovo tipo di software di controllo remoto destinato sia all’ambiente Windows che Linux. Le sue funzioni sono modulari, il protocollo C2 utilizzava la crittografia a doppio strato TLS e RC4, il file di configurazione utilizzava la crittografia AES e supportava l’aggiornamento dinamico delle istruzioni C2. Il modulo plug-in Win32.Dacls veniva caricato dinamicamente tramite un URL remoto e la versione Linux del plug-in viene compilata direttamente nel programma Bot.
Sono stati trovati una serie di campioni su un server di download sospetto http://www.areac-agr.com/cms/wp-content/uploads/2015/12/, inclusi Win32.Dacls, Linux.Dacls, il programma open source Socat e un asset di lavoro per Confluence CVE-2019-3396. Si è ipotizzato che il Lazarus Group abbia utilizzato la vulnerabilità di N-day CVE-2019-3396 per diffondere il programma Dacls Bot.
- MD5 (check.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 Payload
- MD5 (hdata.dat) = 982bf527b9fe16205fea606d1beed7fa //Collezione registro
- MD5 (ldata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot
- MD5 (mdata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot
- MD5 (r.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 carico utile
- MD5 (rdata.dat) = bea49839390e4f1eb3cb38d0fcaf897e //bot di Windows Dacls
- MD5 (sdata.dat) = e883bf5fd22eb6237eb84d80bbcf2ac9 //Socat open source
Le funzioni principali di Linux.Dacls Bot includevano:
- esecuzione dei comandi
- gestione dei file
- gestione dei processi
- test di accesso alla rete
- agente di connessione C2
- modulo di scansione della rete.
Dopo l’avvio di Linux.Dacls, il bot veniva eseguito in modalità demone in background ed utilizzava i parametri di avvio /pro, il file PID del bot, /var/run/init.pid e il nome del processo del bot /proc/<pid> /cmdlineper distinguere diversi ambienti operativi ed il sospetto che potesse essere utilizzato per gli aggiornamenti del programma Bot era più che fondato.
Nel 2019, l’automazione, la decentralizzazione e l’integrazione hanno permesso a TrickBot di introdurre un modello che cambiava il gioco visto nel triennio 2016-2018. Il domain controller ha permesso la raccolta automatica di informazioni di rete e il movimento laterale automatizzato all’interno delle reti, per non parlare del processo completamente automatizzato di raccolta delle credenziali. La capacità di integrare diversi segmenti del crimine informatico ha permesso di eseguire sofisticate operazioni di frode bancaria per il riciclaggio di denaro, attivarsi in operazione ransomware e mettere in atto frodi fiscali. La decentralizzazione ha creato un modello di business flessibile, dove TrickBot ha offerto strumenti di attacco a fornitori controllati ed ha utilizzato gli strumenti di altri per aumentare l’infettività. Nel confondere le linee tra violazioni, furto di dati, ransomware e frode informatica, il gruppo ha quasi raggiunto l’apice, e quasi unito i territori del cybercrimine. Tuttavia, c’era un’ultima sfida che separava TrickBot dalla perfezione: le APT. Ed è accaduto grazie a Anchor, il cui modus operandi ha avuto attacchi mirati a reti estremamente sicure, rimanendo persistenti, non rilevabili per lunghi periodi e lo spionaggio separa dal crimeware e dai TrickBot che sono generalmente distribuiti solo per guadagno monetario. Questo è il motivo per cui era altamente improbabile che TrickBot tentasse di integrare le APT nelle loro operazioni. Fino alla scoperta di un nuovo progetto derivato da TrickBot chiamato “Anchor“: un quadro di strumenti che permetteva agli attori potenziali clienti di TrickBot di essere sfruttato contro vittime di maggiore profilo. Alcuni dei “pezzi” trovati di Anchor erano composti da diversi segmenti e ciascuno con una funzione specifica:
- anchorInstaller
- anchorDeInstaller
- AnchorBot
- Bin2hex
- psExecutor
- memoryScraper
La struttura era progettata per caricare segretamente il malware e pulire tutte le prove dell’attacco. Tuttavia, l’obiettivo finale di questa innovazione non è chiaro finché non sono stati analizzati altri moduli. Guardando qualsiasi modulo di TrickBot possiamo capire chiaramente il suo scopo. Ma quando si tratta di Anchor vediamo una combinazione di funzionalità, strumenti e metodi. Ciò che è fuori discussione, tuttavia, è la sofisticazione di questa tecnologia che include una metodologia integrata di caricamento di tali framework Metasploit, Cobalt Strike, TerraLoader, e PowerShell Empire per eseguire ulteriori vittime post-exploitation.
Il progetto Anchor combina una collezione di strumenti: da quello di installazione iniziale alla pulizia destinata a cancellare l’esistenza di malware sulla macchina della vittima. In altre parole, Anchor si presenta come una struttura di attacco all-in-one progettata per compromettere gli ambienti aziendali utilizzando sia strumenti personalizzati che esistenti.
Come descritto in precedenza, i moduli di TrickBot sono basati sul cliente, progettati per le esigenze di una specifica attività criminale. Il progetto Anchor è uno strumento complesso e furtivo per l’estrazione mirata di dati da ambienti sicuri e la persistenza a lungo termine.
Logicamente, lo strumento è stato una opportunità allettante per gruppi di alto profilo, tra cui quelli statali. Tuttavia, Anchor è stato anche utilizzato per grandi rapine informatiche e operazioni di furto di carte di credito nei punti vendita, dove si è sfruttato il suo malware personalizzato di skimming delle carte. Tra i gruppi stato-nazione, solo pochi sono interessati sia alla raccolta di dati sia al guadagno finanziario e uno di loro è Lazarus.
Nell’indagine su Anchor, si è scoperto che lo strumento PowerRatankba è stato precedentemente collegato al presunto gruppo nordcoreano è stato, infatti, utilizzato in Anchor. La prova specifica ha sottolineato che questo toolkit del gruppo Lazarus è stato caricato attraverso il progetto TrickBot Anchor, indicando la relazione ormai smascherata tra gli strumenti attribuiti al gruppo TrickBot “Anchor” e Lazarus.
