Il gruppo di hacker Lazarus, con base in Nord Corea e noto per l’attacco alla catena di approvvigionamento rivolto a 3CX, ha violato anche due organizzazioni di infrastrutture critiche nel settore energetico e altre due aziende coinvolte nel trading finanziario, utilizzando l’applicazione trojanizzata X_TRADER.
Nuove scoperte sulle azioni di Lazarus
Le nuove scoperte, rese note dal Threat Hunter Team di Symantec, confermano i sospetti precedenti sul fatto che il compromesso dell’applicazione X_TRADER abbia interessato più organizzazioni oltre a 3CX. I nomi delle organizzazioni coinvolte non sono stati rivelati.
Eric Chien, direttore delle risposte di sicurezza di Symantec, ha dichiarato a The Hacker News che gli attacchi sono avvenuti tra settembre e novembre 2022. L’impatto di queste infezioni è ancora sconosciuto e sono in corso ulteriori indagini.
Collegamenti tra l’attacco a 3CX e X_TRADER
Mandiant ha rivelato che il compromesso del software dell’applicazione desktop 3CX avvenuto il mese scorso è stato facilitato da un’altra violazione della catena di approvvigionamento del software che ha preso di mira X_TRADER nel 2022, a seguito del download da parte di un dipendente del software infetto sul proprio computer personale.
Non è ancora chiaro come UNC4736, un attore nordcoreano, abbia manomesso X_TRADER, un software di trading sviluppato da Trading Technologies. Sebbene il servizio sia stato interrotto nell’aprile 2020, era ancora disponibile per il download sul sito web della società fino allo scorso anno.
Implicazioni finanziarie degli attacchi
Il compromesso dell’applicazione X_TRADER suggerisce le motivazioni finanziarie degli aggressori. Lazarus (noto anche come Hidden Cobra o Zinc) è un termine ombrello che comprende diversi sottogruppi con sede in Nord Corea, che svolgono attività di spionaggio e cybercriminali per conto del Regno Eremo, al fine di eludere le sanzioni internazionali.
La ricostruzione della catena di infezione di Symantec conferma l’utilizzo del backdoor modulare VEILEDSIGNAL, che include anche un componente di iniezione di processo che può essere iniettato nei browser web Chrome, Firefox o Edge.
