Lazarus Group, hacker sponsorizzati dallo stato della Corea del Nord, prendono di mira le aziende IT
Lazarus Group, il gruppo di minacce persistenti avanzate (APT) attribuito al governo nordcoreano, è stato osservato condurre due distinte campagne di attacco alla catena di approvvigionamento come mezzo per ottenere un punto d'appoggio nelle reti aziendali e prendere di mira un'ampia gamma di entità a valle.
L'ultima operazione di intelligence di raccolta ha comportato l'uso di MATA quadro malware, nonché backdoor doppiati BLINDINGCAN e COPPERHEDGE per attaccare l'industria della difesa, un fornitore della soluzione di monitoraggio delle risorse IT con sede a Lettonia e un think tank con sede in Corea del Sud, secondo un nuovo Rapporto sulle tendenze APT del terzo trimestre 2021 pubblicato da Kaspersky.
In un caso, l'attacco alla catena di approvvigionamento ha avuto origine da una catena di infezione originata da un legittimo software di sicurezza sudcoreano che esegue un payload dannoso, portando alla distribuzione del malware BLINDINGCAN e COPPERHEDGE sulla rete del think tank nel giugno 2021. L'altro attacco a l'azienda lettone di maggio è una "vittima atipica" per Lazarus, hanno detto i ricercatori.
Non è chiaro se Lazarus abbia manomesso il software del fornitore IT per distribuire gli impianti o se il gruppo abbia abusato dell'accesso alla rete dell'azienda per violare altri clienti. L'azienda russa di sicurezza informatica sta monitorando la campagna sotto il cluster DeathNote.
Non è tutto. In quella che sembra essere una diversa campagna di spionaggio informatico, l'avversario è stato anche individuato sfruttando il framework di malware MATA multipiattaforma per eseguire una serie di attività dannose su macchine infette. "L'attore ha fornito una versione trojanizzata di un'applicazione nota per essere utilizzata dalla vittima prescelta, che rappresenta una caratteristica nota di Lazarus", hanno osservato i ricercatori.
Secondo i precedenti risultati di Kaspersky, la campagna MATA è in grado di colpire i sistemi operativi Windows, Linux e macOS, con l'infrastruttura di attacco che consente all'avversario di eseguire una catena di infezioni a più fasi che culmina nel caricamento di plug-in aggiuntivi, che consentono accesso a una vasta gamma di informazioni, inclusi i file archiviati sul dispositivo, estrazione di informazioni sensibili del database e iniezione di DLL arbitrarie.
Oltre Lazarus, un attore di minacce APT di lingua cinese, sospettato di essere HoneyMyte, è stato scoperto mentre adottava la stessa tattica, in cui un pacchetto di installazione del software per scanner di impronte digitali è stato modificato per installare la backdoor PlugX su un server di distribuzione appartenente a un'agenzia governativa in un paese senza nome nell'Asia meridionale. Kaspersky ha definito l'incidente della catena di approvvigionamento "SmudgeX".
Lo sviluppo arriva quando gli attacchi informatici mirati alla catena di approvvigionamento IT sono emersi come una delle principali preoccupazioni sulla scia dell'intrusione di SolarWinds del 2020, evidenziando la necessità di adottare rigorose pratiche di sicurezza dell'account e adottare misure preventive per proteggere gli ambienti aziendali.
L'ultima operazione di intelligence di raccolta ha comportato l'uso di MATA quadro malware, nonché backdoor doppiati BLINDINGCAN e COPPERHEDGE per attaccare l'industria della difesa, un fornitore della soluzione di monitoraggio delle risorse IT con sede a Lettonia e un think tank con sede in Corea del Sud, secondo un nuovo Rapporto sulle tendenze APT del terzo trimestre 2021 pubblicato da Kaspersky.
In un caso, l'attacco alla catena di approvvigionamento ha avuto origine da una catena di infezione originata da un legittimo software di sicurezza sudcoreano che esegue un payload dannoso, portando alla distribuzione del malware BLINDINGCAN e COPPERHEDGE sulla rete del think tank nel giugno 2021. L'altro attacco a l'azienda lettone di maggio è una "vittima atipica" per Lazarus, hanno detto i ricercatori.
Non è chiaro se Lazarus abbia manomesso il software del fornitore IT per distribuire gli impianti o se il gruppo abbia abusato dell'accesso alla rete dell'azienda per violare altri clienti. L'azienda russa di sicurezza informatica sta monitorando la campagna sotto il cluster DeathNote.
Non è tutto. In quella che sembra essere una diversa campagna di spionaggio informatico, l'avversario è stato anche individuato sfruttando il framework di malware MATA multipiattaforma per eseguire una serie di attività dannose su macchine infette. "L'attore ha fornito una versione trojanizzata di un'applicazione nota per essere utilizzata dalla vittima prescelta, che rappresenta una caratteristica nota di Lazarus", hanno osservato i ricercatori.
Secondo i precedenti risultati di Kaspersky, la campagna MATA è in grado di colpire i sistemi operativi Windows, Linux e macOS, con l'infrastruttura di attacco che consente all'avversario di eseguire una catena di infezioni a più fasi che culmina nel caricamento di plug-in aggiuntivi, che consentono accesso a una vasta gamma di informazioni, inclusi i file archiviati sul dispositivo, estrazione di informazioni sensibili del database e iniezione di DLL arbitrarie.
Oltre Lazarus, un attore di minacce APT di lingua cinese, sospettato di essere HoneyMyte, è stato scoperto mentre adottava la stessa tattica, in cui un pacchetto di installazione del software per scanner di impronte digitali è stato modificato per installare la backdoor PlugX su un server di distribuzione appartenente a un'agenzia governativa in un paese senza nome nell'Asia meridionale. Kaspersky ha definito l'incidente della catena di approvvigionamento "SmudgeX".
Lo sviluppo arriva quando gli attacchi informatici mirati alla catena di approvvigionamento IT sono emersi come una delle principali preoccupazioni sulla scia dell'intrusione di SolarWinds del 2020, evidenziando la necessità di adottare rigorose pratiche di sicurezza dell'account e adottare misure preventive per proteggere gli ambienti aziendali.
Commenti
Posta un commento