Il Gruppo Lazarus Attacca l’Industria Manifatturiera ed Elettrica in Europa

[post-views]
Dicembre 21, 2020 · 3 min di lettura
Il Gruppo Lazarus Attacca l’Industria Manifatturiera ed Elettrica in Europa

Il famigerato gruppo APT Lazarus (alias HiddenCobra, APT37) è stato ancora una volta avvistato agitare il mondo del cyber. Questa volta gli analisti della sicurezza hanno rivelato una campagna di cyber-spionaggio altamente mirata contro grandi industrie manifatturiere e del settore elettrico in Europa. 

Strumenti e Scenario d’Attacco di Lazarus

Il vettore di attacco iniziale utilizzato dagli hacker di Lazarus era simile a quello sfruttato in Operazione North Star rivolta contro appaltatori della difesa e dell’aerospazio. In particolare, i cyber-criminali hanno sviluppato tattiche di ingegneria sociale su LinkedIn per adescare le vittime. Gli attaccanti si fingevano legittimi manager delle risorse umane di importanti aziende internazionali per guadagnare fiducia e convincere i dipendenti ad aprire allegati spear-phishing sui dispositivi aziendali. In caso di esecuzione, documenti Word malevoli o file ISO distribuivano una serie di malware sulle reti bersaglio per fornire agli hacker la possibilità di muoversi lateralmente ed eseguire ricognizioni interne. Nella maggior parte dei casi, gli attori della minaccia usavano una versione personalizzata di Mimikatz per l’esfiltrazione delle credenziali insieme a exploit noti (es. EternalBlue) per ottenere persistenza ed elevare i propri privilegi. Successivamente, gli attaccanti distribuivano il RAT BLINDINGCAN/DRATzarus per cercare dati sensibili. Gli hacker di Lazarus esfiltravano dati sensibili tramite infrastruttura C&C complessa basata su siti web compromessi, che permetteva ai membri APT di eludere il rilevamento. Notariamente, la maggior parte dei siti web era abusata tramite exploit pubblici. Come i ricercatori della sicurezza concludono, la campagna è stata piuttosto duratura (febbraio-novembre 2020) e particolarmente mirata al cyber-spionaggio poiché non è stato causato alcun danno diretto alle reti compromesse. 

Contenuti di Rilevamento per l’Attacco Lazarus

Emir Erdogan ha sviluppato una regola Sigma esclusiva per il rilevamento della più recente campagna APT di Lazarus, disponibile presso il Threat Detection Marketplace: 

https://tdm.socprime.com/tdm/info/sYDpoPswwaR8/7TLbcHYBmo5uvpkjTltt/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Persistenza

Tecnica: Chiavi di Registro di Avvio / Cartella di Avvio  (T1060)

 

Panoramica sul Gruppo Lazarus

Il gruppo nordcoreano Lazarus è noto come uno degli attori più prolifici, sia in termini di campagne finanziariamente motivate che di attacchi politicamente orientati a favore del governo di Kim Jong-un. Il gruppo è attivo dal 2009, responsabile di importanti incidenti di sicurezza informatica come la violazione di Sony Pictures del 2014, la rapina bancaria del 2016 contro la Banca Centrale del Bangladesh e l’attacco WannaCry del 2017. Anche il 2020 è stato fruttuoso per Lazarus. Gli hacker sono stati coinvolti in una campagna redditizia contro scambi di criptovalute, operazioni di cyber-spionaggio mirate a grandi aziende internazionali e attacchi mirati contro aziende farmaceutiche che sviluppano vaccini COVID-19.

 

Cerchi i migliori contenuti SOC compatibili con le tue soluzioni di sicurezza? Ottieni una sottoscrizione gratuita al nostro Threat Detection Marketplace. Ti piace programmare e vuoi contribuire alle iniziative di threat hunting? Unisciti al Threat Bounty Program di SOC Prime per un futuro più sicuro!

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati