Lazarus Group è stato analizzato mentre strutturava una nuova campagna apt che utilizza il servizio Windows Update per eseguire il suo file dannoso, ampliando l’arsenale di tecniche di sopravvivenza (LotL) sfruttate dal gruppo per colpire i suoi obiettivi.
Il Lazarus Group, noto anche come APT38, Hidden Cobra, Whois Hacking Team e Zinc, è il soprannome assegnato al gruppo di hacking dello stato-nazione con sede nella Corea del Nord attivo almeno dal 2009. L’anno scorso, l’attore della minaccia era collegato a un’elaborata campagna di ingegneria sociale rivolta ai ricercatori della sicurezza.
Gli ultimi attacchi di spear-phishing, che Malwarebytes ha rilevato il 18 gennaio, provengono da documenti compromessi con mail-esche che impersonano la società americana di sicurezza globale e aerospaziale Lockheed Martin.
L’apertura del file esca di Microsoft Word attiva l’esecuzione di una macro dannosa incorporata nel documento che, a sua volta, esegue uno shellcode decodificato in Base64 per iniettare una serie di componenti malware nel processo “explorer.exe“.
Nella fase successiva, uno dei file binari caricati, “drops_lnk.dll“, sfrutta il client Windows Update (“wuauclt.exe“), utilizzato come tecnica di evasione della difesa per fondere attività dannose con software Windows legittimo, per eseguire un comando che carica un secondo modulo chiamato “wuaueng.dll“.
L’azienda di sicurezza informatica ha definito “wuaueng.dll” come “una delle DLL più importanti nella catena di attacco“, il cui scopo principale è stabilire comunicazioni con un server di comando e controllo (C2), un repository GitHub che ospita moduli dannosi mascherati da File di immagine PNG.
L’account GitHub risulta creato il 17 gennaio 2022.
Malwarebytes ha affermato che i collegamenti a Lazarus Group si basano su diverse prove che li collegano ad attacchi passati dello stesso attore, comprese le sovrapposizioni di infrastrutture, i metadati dei documenti e l’uso di modelli di opportunità di lavoro per individuare le sue vittime.
