Introduzione: Il noto attore di minacce legato alla Corea del Nord, conosciuto come il Gruppo Lazarus, è stato collegato a una nuova campagna globale che sfrutta le vulnerabilità di sicurezza in Log4j per distribuire trojan di accesso remoto (RAT) precedentemente non documentati su host compromessi. Cisco Talos sta monitorando l’attività sotto il nome di Operazione Blacksmith, notando l’uso di tre famiglie di malware basate su DLang, tra cui un RAT chiamato NineRAT che sfrutta Telegram per il comando e controllo (C2), DLRAT e un downloader denominato BottomLoader.
Tattiche e sovrapposizioni con Andariel
Le ultime tattiche del nemico rappresentano un cambiamento definitivo e si sovrappongono con il cluster ampiamente tracciato come Andariel (noto anche come Onyx Sleet o Silent Chollima), un sottogruppo all’interno dell’ombrello Lazarus. Andariel è tipicamente incaricato di accesso iniziale, ricognizione e stabilimento di accesso a lungo termine per spionaggio a sostegno degli interessi nazionali del governo nordcoreano.
Catene di attacco e settori bersaglio
Le catene di attacco coinvolgono lo sfruttamento di CVE-2021-44228 (noto come Log4Shell) contro server VMWare Horizon accessibili pubblicamente per consegnare NineRAT. Alcuni dei settori più colpiti includono la produzione, l’agricoltura e la sicurezza fisica.
Abuso di Log4Shell e Malware NineRAT
L’abuso di Log4Shell non sorprende dato che il 2,8% delle applicazioni sta ancora utilizzando versioni vulnerabili della libreria dopo due anni dalla divulgazione pubblica. NineRAT, sviluppato intorno a maggio 2022, è stato utilizzato per la prima volta in un attacco contro un’organizzazione agricola sudamericana a marzo 2023 e poi di nuovo a settembre 2023 su un’entità manifatturiera europea. Utilizzando un servizio di messaggistica legittimo come Telegram per le comunicazioni C2, l’obiettivo è evitare il rilevamento.
Altri strumenti utilizzati negli attacchi
Oltre a NineRAT, gli attacchi hanno utilizzato uno strumento proxy personalizzato chiamato HazyLoad, precedentemente identificato da Microsoft come utilizzato dall’attore della minaccia come parte di intrusioni che sfruttano gravi falle di sicurezza in JetBrains TeamCity. HazyLoad viene scaricato ed eseguito tramite un altro malware chiamato BottomLoader. Inoltre, l’Operazione Blacksmith ha osservato la consegna di DLRAT, che è sia un downloader che un RAT equipaggiato per eseguire ricognizione del sistema, distribuire malware aggiuntivo e recuperare comandi dal C2 ed eseguirli nei sistemi compromessi.