Sommario
Il gruppo di hacker Lazarus, con base in Nord Corea e noto per lโattacco alla catena di approvvigionamento rivolto a 3CX, ha violato anche due organizzazioni di infrastrutture critiche nel settore energetico e altre due aziende coinvolte nel trading finanziario, utilizzando lโapplicazione trojanizzata X_TRADER.
Nuove scoperte sulle azioni di Lazarus
Le nuove scoperte, rese note dal Threat Hunter Team di Symantec, confermano i sospetti precedenti sul fatto che il compromesso dellโapplicazione X_TRADER abbia interessato piรน organizzazioni oltre a 3CX. I nomi delle organizzazioni coinvolte non sono stati rivelati.
Eric Chien, direttore delle risposte di sicurezza di Symantec, ha dichiarato a The Hacker News che gli attacchi sono avvenuti tra settembre e novembre 2022. Lโimpatto di queste infezioni รจ ancora sconosciuto e sono in corso ulteriori indagini.
Collegamenti tra lโattacco a 3CX e X_TRADER
Mandiant ha rivelato che il compromesso del software dellโapplicazione desktop 3CX avvenuto il mese scorso รจ stato facilitato da unโaltra violazione della catena di approvvigionamento del software che ha preso di mira X_TRADER nel 2022, a seguito del download da parte di un dipendente del software infetto sul proprio computer personale.
Non รจ ancora chiaro come UNC4736, un attore nordcoreano, abbia manomesso X_TRADER, un software di trading sviluppato da Trading Technologies. Sebbene il servizio sia stato interrotto nellโaprile 2020, era ancora disponibile per il download sul sito web della societร fino allo scorso anno.
Implicazioni finanziarie degli attacchi
Il compromesso dellโapplicazione X_TRADER suggerisce le motivazioni finanziarie degli aggressori. Lazarus (noto anche come Hidden Cobra o Zinc) รจ un termine ombrello che comprende diversi sottogruppi con sede in Nord Corea, che svolgono attivitร di spionaggio e cybercriminali per conto del Regno Eremo, al fine di eludere le sanzioni internazionali.
La ricostruzione della catena di infezione di Symantec conferma lโutilizzo del backdoor modulare VEILEDSIGNAL, che include anche un componente di iniezione di processo che puรฒ essere iniettato nei browser web Chrome, Firefox o Edge.