Lazarus APT riemerge per sfruttare Windows Update e GitHub
Indice:
A un mese dall’inizio del 2022, non si prevede un calo degli attacchi; al contrario, il campo della cybersecurity è in fermento. Lo scenario è familiare: hacker in agguato e operatori della sicurezza che lavorano assiduamente per garantire nessun riposo per i primi.
A fine gennaio, un nuovo campagna di attacchi, lanciata da un APT collegato alla Corea del Nord, è stata scoperta dal team di Malwarebytes Threat Intelligence. Questa volta, l’attore statale utilizza il servizio Windows Update per distribuire malware e sfrutta GitHub come server di comando e controllo.
HIDDEN COBRA
Il Lazarus Group è un’organizzazione di hacker notoria sponsorizzata dal governo nordcoreano. Questa banda è sotto osservazione almeno dal 2009 ed è sospettata di essere dietro numerose campagne di alto profilo, inclusi attacchi di guerra informatica, cyberspionaggio e ransomware.
Il programma cyber della Corea del Nord rappresenta una minaccia persistente di spionaggio, furto e attacco, fornendo un sostegno significativo a numerosi cluster cyber dannosi. Per eliminare eventuali errori di denominazione nel vasto campo delle attività cibernetiche criminali sponsorizzate dal governo nordcoreano, è necessario indicare che il Lazarus Group è conosciuto sotto molti pseudonimi, alcuni dei quali, come Andariel, Kimsuky, APT37, APT38, si riferiscono a sottogruppi, e un nome ombrello HIDDEN COBRA usato per riferirsi all’attività cibernetica dannosa gestita dallo stato nordcoreano in generale.
I metodi più utilizzati dalla banda sono la diffusione di malware, zero-day, spear phishing, disinformazione e backdoor.
L’ultima catena di attacchi
Gli esempi più recenti di attacco Lazarus sono stati segnalati il 18 gennaio 2022. Tuttavia, ci sono dati che suggeriscono che la campagna fosse in opera sin dalla fine del 2021. Questa volta, Lazarus Group mira a sfruttare Windows Update e GitHub per eludere le rilevazioni. Per infettare i PC con il malware, l’attacco inizia con l’implementazione di macro dannose impiantate nel documento Word. Più precisamente, i dati attuali suggeriscono l’uso da parte degli attori delle minacce di due documenti con macro incorporate, che attraggono gli utenti con nuove opportunità di lavoro presso la corporate globale Lockheed Martin:
Lockheed_Martin_JobOpportunities.docx
Salary_Lockheed_Martin_job_opportunities_confidential.doc
Quando la vittima apre un file armato, il malware esegue una serie di iniezioni per ottenere la persistenza all’avvio sul dispositivo di destinazione: una macro incorporata lascia un file WindowsUpdateConf.lnk nella cartella di avvio e un file DLL (wuaueng.dll) nella cartella Windows/System32.
La DLL dannosa viene quindi eseguita utilizzando il client Windows Update per evitare la rilevazione. Un’altra tecnica finalizzata a rimanere sotto il radar della sicurezza è l’adozione di GitHub per la comunicazione C2.
Rilevare l’ultimo attacco Lazarus
Per identificare possibili attacchi e rimediare alla nuova compromissione spear phishing di Lazarus, opta per il download di un batch di regole Sigma gratuite. Il contenuto è stato rilasciato dai nostri sviluppatori esperti di Threat Bounty Nattatorn Chuensangarun and Onur Atali.
Lazarus APT esegue le macro dannose tramite creazione processo
Campagna GitHub di Lazarus APT della Corea del Nord tramite evento file
Lazarus APT sfrutta il client Windows Update, GitHub tramite evento file
L’elenco completo delle rilevazioni relative a Lazarus APT nel repository Threat Detection Marketplace della piattaforma SOC Prime è disponibile qui.
Iscriviti gratuitamente alla piattaforma SOC Prime’s Detection as Code per rilevare le nuove minacce all’interno del tuo ambiente di sicurezza, migliorare la copertura delle fonti di log e MITRE ATT&CK, e in generale potenziare le capacità di difesa informatica dell’organizzazione. Vuoi creare le tue regole Sigma? Unisciti al nostro programma Threat Bounty e vieni ricompensato per il tuo prezioso contributo.
