Lazarus colpisce ancora AhnLab e la COrea del Sud

Il gruppo Lazarus, legato alla Corea del Nord, ha sfruttato una vulnerabilità zero-day in un software non divulgato per compromettere due volte, nel corso di un anno, un’entità finanziaria sudcoreana. Nel primo attacco del maggio 2022, è stata utilizzata una versione vulnerabile di un software di certificazione ampiamente utilizzato da istituzioni pubbliche e università, mentre la successiva infiltrazione nell’ottobre 2022 ha comportato l’utilizzo di un exploit zero-day nel medesimo programma. Il gruppo ha utilizzato la tecnica BYOVD per disattivare il motore anti-malware AhnLab V3, mentre per nascondere il comportamento malevolo ha cambiato i nomi dei file e modificato i timestamp utilizzando la tecnica anti-forense di timestomping. L’attacco ha permesso l’installazione di backdoor payloads, Keys.dat e Settings.vwx, che si connettono a un server di comando e controllo remoto per scaricare e eseguire binari aggiuntivi in modo fileless. Il collettivo avrebbe cambiato la propria tattica di disattivazione dei prodotti di sicurezza e di tecniche anti-forensi per infiltrarsi in istituzioni e aziende coreane.