Sommario
I recenti rapporti indicano un’intensificazione delle attività da parte delle APT della Corea del Nord, con nuovi attacchi che sfruttano vulnerabilità nei software e nei protocolli di aggiornamento per infiltrarsi nei sistemi e rubare informazioni sensibili e ouesti attacchi, orchestrati da gruppi come Moonstone Sleet, Kimsuky e Andariel, mettono in evidenza la crescente sofisticazione delle tecniche utilizzate e la necessità di rafforzare le misure di sicurezza informatica.
Moonstone Sleet: attacchi attraverso pacchetti NPM
Il gruppo di hacker nordcoreani noto come Moonstone Sleet ha recentemente distribuito pacchetti NPM malevoli, come “harthat-api” e “harthat-hash”, nel tentativo di infettare i sistemi Windows. Questi pacchetti, che imitano il noto pacchetto NPM “Hardhat” utilizzato per lo sviluppo su Ethereum, contengono codice malevolo che si connette a server controllati dagli hacker per scaricare ulteriori payload dannosi. Questi attacchi mirano a rubare credenziali e altre informazioni sensibili dagli utenti bersaglio, spesso attraverso archivi ZIP falsi distribuiti su LinkedIn o siti di freelance.
Kimsuky e Andariel: Exploits e Malware
Il Centro Nazionale di Sicurezza Informatica della Corea del Sud (NCSC) ha avvertito che i gruppi di hacker Kimsuky (APT43) e Andariel (APT45) stanno sfruttando vulnerabilità nei software VPN e nei protocolli di aggiornamento per distribuire malware come DoraRAT. Questi gruppi, legati al famigerato Lazarus Group, hanno utilizzato certificati digitali validi per bypassare i controlli antivirus e installare software trojan su sistemi bersaglio, compromettendo i dati di organizzazioni pubbliche e private.
In particolare, Kimsuky ha compromesso il sito web di un’organizzazione commerciale sudcoreana, spingendo i visitatori a installare software di sicurezza trojanizzato. Andariel, invece, ha sfruttato una vulnerabilità nel software VPN domestico per distribuire aggiornamenti falsi contenenti il malware DoraRAT, progettato per rubare grandi file come documenti di progettazione di macchinari.
Misure di Sicurezza e Raccomandazioni
Per contrastare questi attacchi sofisticati, NCSC raccomanda alle organizzazioni di richiedere ispezioni di sicurezza, implementare politiche di approvazione rigorose per la distribuzione del software e garantire l’autenticazione degli amministratori per le fasi finali di distribuzione. Altre misure includono aggiornamenti tempestivi del software e del sistema operativo, formazione continua sulla sicurezza per i dipendenti e monitoraggio costante degli avvisi di sicurezza governativi.
Gli attacchi informatici della Corea del Nord evidenziano la necessità di una sicurezza informatica robusta e di un monitoraggio continuo delle minacce. Con gruppi come Moonstone Sleet, Kimsuky e Andariel che utilizzano tecniche sempre più sofisticate per infiltrarsi nei sistemi, le organizzazioni devono adottare misure proattive per proteggere le proprie risorse e informazioni sensibili. La collaborazione internazionale e la condivisione delle informazioni restano cruciali per affrontare queste minacce globali.
