Il gruppo di hacker nordcoreano Lazarus ha utilizzato una vulnerabilità zero-day nel software MagicLine4NX per condurre attacchi alla catena di fornitura, colpendo principalmente istituzioni sudcoreane. Questa rivelazione arriva da un avviso congiunto del National Cyber Security Centre (NCSC) del Regno Unito e del National Intelligence Service (NIS) della Corea del Sud.
Dettagli dell’attacco
MagicLine4NX, sviluppato dalla società sudcoreana Dream Security, è un software di autenticazione di sicurezza utilizzato per accessi sicuri nelle organizzazioni. Gli attori della minaccia, basati nella Repubblica Popolare Democratica di Corea (DPRK), hanno sfruttato una vulnerabilità zero-day nel prodotto per violare i loro obiettivi. L’attacco è iniziato compromettendo il sito web di un’agenzia di stampa per incorporare script dannosi in un articolo, consentendo un attacco di tipo “watering hole”. Quando obiettivi specifici da determinati intervalli di IP hanno visitato l’articolo sul sito compromesso, gli script hanno eseguito codice dannoso per sfruttare la vulnerabilità menzionata nel software MagicLine4NX, impattando le versioni precedenti alla 1.0.0.26.
Metodologia e conseguenze
Questo ha portato il computer della vittima a connettersi al server C2 (command and control) degli aggressori, consentendo loro di accedere a un server lato internet sfruttando una vulnerabilità in un sistema collegato alla rete. Utilizzando la funzione di sincronizzazione dati di questo sistema, gli hacker nordcoreani hanno diffuso codice per rubare informazioni al server aziendale, compromettendo i PC all’interno dell’organizzazione bersaglio. Il codice rilasciato si è connesso a due server C2, uno agendo come gateway intermedio e il secondo situato esternamente su internet. Le funzioni del codice dannoso includono ricognizione, esfiltrazione di dati, scaricamento ed esecuzione di payload criptati dal C2 e movimento laterale nella rete.
Implicazioni e rischi
Questi attacchi evidenziano la continua dipendenza del gruppo Lazarus da attacchi alla catena di fornitura e dall’exploit di vulnerabilità zero-day come parte delle loro tattiche di guerra cibernetica. Queste operazioni rappresentano una minaccia significativa per la sicurezza informatica globale, sottolineando la necessità di una vigilanza costante e di misure di sicurezza robuste.