Il prolifico attore nordcoreano noto come Lazarus Group è stato collegato a un nuovo trojan di accesso remoto chiamato MagicRAT. Il malware, precedentemente sconosciuto, sarebbe stato distribuito nelle reti delle vittime che erano state inizialmente violate attraverso lo sfruttamento dei server VMware Horizon rivolti a Internet, secondo quanto dichiarato da Cisco Talos in un rapporto condiviso con The Hacker News.
“Pur essendo un RAT relativamente semplice dal punto di vista delle capacità, è stato costruito ricorrendo al Qt Framework, con l’unico intento di rendere più difficile l’analisi umana e meno probabile il rilevamento automatico attraverso l’apprendimento automatico e l’euristica”, hanno dichiarato i ricercatori di Talos Jung soo An, Asheer Malhotra e Vitor Ventura.
Lazarus Group, noto anche come APT38, Dark Seoul, Hidden Cobra e Zinc, si riferisce a un gruppo di attività informatiche a sfondo finanziario e di spionaggio intraprese dal governo nordcoreano come mezzo per eludere le sanzioni imposte al Paese e raggiungere i propri obiettivi strategici. Come gli altri collettivi ombrello Winnti e MuddyWater, il collettivo di hacking sponsorizzato dallo Stato ha anche gruppi “spin-off” come Bluenoroff e Andariel, che si concentrano su tipi specifici di attacchi e obiettivi.
Mentre il sottogruppo Bluenoroff si concentra sull’attacco alle istituzioni finanziarie straniere e sul furto di denaro, Andariel si dedica alla ricerca di organizzazioni e aziende sudcoreane. “Lazarus sviluppa i propri strumenti di attacco e il proprio malware, è in grado di utilizzare tecniche di attacco innovative, lavora in modo molto metodico e si prende tutto il tempo necessario”, ha dichiarato la società di cybersicurezza NCC Group in un rapporto che descrive nel dettaglio l’attore della minaccia.
“In particolare, i metodi nordcoreani mirano a evitare il rilevamento da parte dei prodotti di sicurezza e a rimanere inosservati all’interno dei sistemi violati il più a lungo possibile”. L’ultima aggiunta al suo ampio set di strumenti malware dimostra la capacità del gruppo di impiegare una moltitudine di tattiche e tecniche a seconda dei suoi obiettivi e delle sue finalità operative. MagicRAT, un impianto basato su C++, è progettato per raggiungere la persistenza creando attività pianificate sul sistema compromesso. È anche “piuttosto semplice” in quanto fornisce all’aggressore una shell remota per eseguire comandi arbitrari e operazioni sui file.
MagicRAT è anche in grado di lanciare payload aggiuntivi recuperati da un server remoto sugli host infetti. Uno degli eseguibili recuperati dal server di comando e controllo (C2) assume la forma di un file immagine GIF, ma in realtà è un leggero scanner di porte. Inoltre, l’infrastruttura C2 associata a MagicRAT è stata scoperta ospitare e servire versioni più recenti di TigerRAT, una backdoor precedentemente attribuita ad Andariel e progettata per eseguire comandi, scattare screenshot, registrare sequenze di tasti e raccogliere informazioni di sistema.
L’ultima variante incorpora anche una funzione di Dump USB che consente all’avversario di cercare file con estensioni specifiche, oltre a gettare le basi per l’implementazione dell’acquisizione video dalle webcam. “La scoperta di MagicRAT in natura è un’indicazione delle motivazioni che spingono Lazarus a creare rapidamente nuovo malware su misura da utilizzare insieme a quello già noto, come TigerRAT, per colpire le organizzazioni di tutto il mondo”, hanno dichiarato i ricercatori.
