Una nuova campagna di malspam lanciata da un gruppo criminale cyber sostenuto dal governo nordcoreano sarebbe stata scoperta dal Microsoft Security Threat Intelligence (MSTIC). La campagna prevederebbe l’uso di software open source armato con un malware dotato di funzionalità estese per il furto di dati, lo spionaggio e guadagni finanziari.
Matrice e obiettivi
Secondo il rapporto si tratterebbe del gruppo ZINC, una derivazione della famigerata gang Lazarus, che avrebbe iniettato codice crittografato in diverse app open source, tra cui KiTTY, Sumatra PDF Reader, PuTTY, muPDF/Subliminal Recording e TightVNC, portando infine all’installazione di malware appartenenti alla famiglia ZetaNile. Gli obiettivi principali sarebbero i settori aerospaziale, media, servizi IT e difesa.
Attivo dal 2009, tale gruppo è passato all’onore della cronaca nel 2014 in seguito al successo dell’attacco contro Sony Pictures Entertainment ed è noto per utilizzare una varietà di strumenti di accesso remoto personalizzati tra cui FoggyBrass e PhantomStar.
Abuso social
Abusando del portale di rete di LinkedIn per cercare obiettivi in India, Russia, Regno Unito e Stati Uniti, i criminali hanno cercato di instaurare un contatto con i dipendenti delle organizzazioni selezionate, spacciandosi con profili falsi come reclutatori che lavorano in importanti società nel settore media, difesa e tecnologia.
Tramite tecniche di ingegneria sociale avrebbero ottenuto poi la loro fiducia prima di passare la conversazione su WhatsApp fornendo con un pretesto le app armate all’interno di archivi ZIP o file ISO.
Flusso di attacco
Come ricostruito dagli esperti, tramite versioni troianizzate dei client SSH KiTTY e PuTTY gli attaccanti riuscirebbero a selezionare gli obiettivi da infettare eludendo le misure di sicurezza.
Per ottenere ciò, i programmi di installazione dell’app non eseguono direttamente il codice dannoso. Una backdoor viene installata solo dopo che le app si connettono a un determinato indirizzo IP utilizzando le credenziali di accesso digitate dalle vittime e fornite dai falsi reclutatori in un file Readme.txt.
Il malware di seconda fase viene installato quando viene stabilita la connessione con il server C2, stabilendo la persistenza con la creazione di un’attività programmata giornaliera. Dei metodi simili vengono utilizzati anche dalle altre app open source menzionate nel rapporto.
Possibili mitigazioni
Microsoft esorta a prestare attenzione a questa minaccia, dato l’ampio utilizzo di prodotti software legittimi, indicando che le tecniche utilizzate dall’attore malevolo possono essere mitigate adottando:
- Gli IoC condivisi;
- L’autenticazione 2FA;
- Cicli di formazione (security awareness) per prevenire le infezioni e proteggere le informazioni.
