Gruppo di hacker Lazarus colpisce infrastrutture critiche oltre l’attacco a 3CX

da Livio Varriale
0 commenti 2 minuti leggi
lazarus

Il gruppo di hacker Lazarus, con base in Nord Corea e noto per lโ€™attacco alla catena di approvvigionamento rivolto a 3CX, ha violato anche due organizzazioni di infrastrutture critiche nel settore energetico e altre due aziende coinvolte nel trading finanziario, utilizzando lโ€™applicazione trojanizzata X_TRADER.

Nuove scoperte sulle azioni di Lazarus

Le nuove scoperte, rese note dal Threat Hunter Team di Symantec, confermano i sospetti precedenti sul fatto che il compromesso dellโ€™applicazione X_TRADER abbia interessato piรน organizzazioni oltre a 3CX. I nomi delle organizzazioni coinvolte non sono stati rivelati.

Eric Chien, direttore delle risposte di sicurezza di Symantec, ha dichiarato a The Hacker News che gli attacchi sono avvenuti tra settembre e novembre 2022. Lโ€™impatto di queste infezioni รจ ancora sconosciuto e sono in corso ulteriori indagini.

Collegamenti tra lโ€™attacco a 3CX e X_TRADER

Mandiant ha rivelato che il compromesso del software dellโ€™applicazione desktop 3CX avvenuto il mese scorso รจ stato facilitato da unโ€™altra violazione della catena di approvvigionamento del software che ha preso di mira X_TRADER nel 2022, a seguito del download da parte di un dipendente del software infetto sul proprio computer personale.

Non รจ ancora chiaro come UNC4736, un attore nordcoreano, abbia manomesso X_TRADER, un software di trading sviluppato da Trading Technologies. Sebbene il servizio sia stato interrotto nellโ€™aprile 2020, era ancora disponibile per il download sul sito web della societร  fino allo scorso anno.

Implicazioni finanziarie degli attacchi

Il compromesso dellโ€™applicazione X_TRADER suggerisce le motivazioni finanziarie degli aggressori. Lazarus (noto anche come Hidden Cobra o Zinc) รจ un termine ombrello che comprende diversi sottogruppi con sede in Nord Corea, che svolgono attivitร  di spionaggio e cybercriminali per conto del Regno Eremo, al fine di eludere le sanzioni internazionali.

Annunci

La ricostruzione della catena di infezione di Symantec conferma lโ€™utilizzo del backdoor modulare VEILEDSIGNAL, che include anche un componente di iniezione di processo che puรฒ essere iniettato nei browser web Chrome, Firefox o Edge.

Si puรฒ anche come

MatriceDigitale.it – Copyright ยฉ 2024, Livio Varriale – Registrazione Tribunale di Napoli nยฐ 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love byย Giuseppe Ferrara