Il gruppo Lazarus, noto per la sua affiliazione con la Corea del Nord, è stato identificato come il responsabile di una nuova campagna in cui un fornitore di software non specificato è stato compromesso sfruttando falle di sicurezza note in un altro software di alto profilo. Secondo Kaspersky, le sequenze di attacco hanno culminato nel dispiegamento di famiglie di malware come SIGNBT e LPEClient, uno strumento di hacking già noto utilizzato dall’attore della minaccia per la profilazione delle vittime e la consegna del payload.
Tecniche avanzate e malware sofisticato
L’avversario ha dimostrato un alto livello di sofisticazione, impiegando tecniche avanzate di elusione e introducendo il malware SIGNBT per il controllo delle vittime. Il malware SIGNBT utilizzato in questo attacco ha impiegato una catena di infezione diversificata e tecniche sofisticate. Il fornitore di software che ha sviluppato il software sfruttato è stato vittima di un attacco di Lazarus diverse volte, indicando un tentativo di rubare il codice sorgente o avvelenare la catena di fornitura del software.
Dettagli sul malware e sulle tecniche di attacco
Il malware SIGNBT ha come funzione principale quella di stabilire un contatto con un server remoto e recuperare ulteriori comandi per l’esecuzione sull’host infetto. Il backdoor di Windows è dotato di una vasta gamma di capacità per esercitare il controllo sul sistema della vittima. Ciò include l’enumerazione dei processi, le operazioni su file e directory e il dispiegamento di payload come LPEClient e altri strumenti di dumping delle credenziali.
Diverse campagne di Lazarus nel 2023
Kaspersky ha identificato almeno tre diverse campagne di Lazarus nel 2023 utilizzando diversi vettori di intrusione e procedure di infezione, ma si è sempre affidata al malware LPEClient per consegnare il malware finale. Una di queste campagne ha aperto la strada a un impianto denominato Gopuram, utilizzato in attacchi informatici mirati alle aziende di criptovalute sfruttando una versione trojanizzata del software di videoconferenza 3CX.
L’evoluzione continua del gruppo Lazarus
Le ultime scoperte sono solo l’ultimo esempio delle operazioni informatiche legate alla Corea del Nord, oltre a essere una testimonianza dell’arsenale in continua evoluzione e in continua espansione del gruppo Lazarus in termini di strumenti, tattiche e tecniche. “Il gruppo Lazarus rimane un attore minaccioso altamente attivo e versatile nel panorama attuale della cybersecurity”, ha dichiarato Park
Dichiarazione di Kaspersky
Seongsu Park, Lead Security Researcher del Global Research and Analysis Team di Kaspersky, ha sottolineato la continua evoluzione e la competenza del gruppo Lazarus, evidenziando la necessità di una maggiore attenzione verso queste minacce. La soluzione Kaspersky Endpoint Security ha riconosciuto proattivamente la minaccia, prevenendo ulteriori attacchi verso altri obiettivi.