Sommario
Lazarus, gruppo APT collegato alla Corea del Nord identificato come UNC2970 da Mandiant, ha lanciato una serie di attacchi mirati contro il settore energetico e aerospaziale. Questi attacchi si basano su campagne di phishing camuffate da offerte di lavoro, con l’obiettivo di compromettere le reti aziendali e accedere a informazioni sensibili tramite un malware chiamato MISTPEN.
Le offerte di lavoro di Lazarus
Lazarus si presenta come un gruppo di reclutatori, inviando e-mail e messaggi WhatsApp con offerte di lavoro per attirare l’attenzione di dirigenti e manager di alto livello nel settore dell’energia e dell’aerospazio. I messaggi contengono offerte di lavoro apparentemente legittime, corredate da file ZIP che includono una descrizione di lavoro in formato PDF. Tuttavia, il file PDF può essere aperto solo utilizzando una versione trojanizzata di Sumatra PDF, un visualizzatore PDF open-source.
Una volta che la vittima apre il file PDF con il software compromesso, viene eseguito un launcher chiamato BURNBOOK, che attiva il malware MISTPEN. Questo malware consente agli hacker di ottenere l’accesso remoto al sistema infetto, raccogliendo informazioni sensibili e trasferendo file eseguibili dal server di comando e controllo degli aggressori.
La minaccia rappresentata da MISTPEN
MISTPEN è una backdoor leggera, scritta in C, progettata per scaricare ed eseguire file da un server remoto. Questo malware utilizza una libreria DLL trojanizzata, wtsapi32.dll, per avviare la catena di infezione. Una volta installato, il malware comunica con il server degli aggressori attraverso URL di Microsoft Graph, garantendo un flusso continuo di dati tra la vittima e gli attaccanti.
Sfruttamento di software open-source
UNC2970 ha dimostrato un’abilità notevole nel modificare versioni open-source di software legittimi come Sumatra PDF. Questo approccio permette loro di evitare sospetti e compromettere i sistemi utilizzando programmi che, all’apparenza, sembrano sicuri. È importante notare che non si tratta di un attacco alla catena di fornitura, poiché non è stata rilevata alcuna vulnerabilità nel software originale, ma di una versione modificata dagli hacker.
