APT Lazarus attacca anche aziende italiane a scopo di lucro

La tradizionale backdoor usata da Lazarus per condurre campagne di spionaggio e sabotaggio è riciclata in alcuni attacchi contro aziende europee.

Autore: Redazione SecurityOpenLab

Italia, Germania, Svizzera, Brasile, India, Messico, Arabia Saudita, Turchia e Stati Uniti sono lo scenario di una nuova ondata di attacchi perpetrati da Lazarus. Parliamo del gruppo APT nordcoreano che storicamente è stato ricondotto agli attacchi di cyber spionaggio e sabotaggio contro la Corea del Sud. Evidentemente ha espanso la sua area di azione, dato che i ricercatori di Kaspersky hanno identificato attacchi con la backdoor DTrack nei confronti di società occidentali ed europee, fra cui alcune italiane - una appartenente al settore dei provider di servizi IT.

L’evoluzione di questo gruppo, attivo dal 2009, non riguarda solo l’espansione geografica: nel tempo ha condotto anche campagne ransomware eseguendo anche attacchi a scopo di lucro, come quelli che sembrano l’obiettivo della nuova campagna europea.

DTrack, la backdoor modificata

La backdoor DTrack non è una novità, dato che la sua scoperta risale al 2019 e da allora non ha subito cambiamenti significativi. Si nasconde in un eseguibile che sembra un programma legittimo, e ci sono diverse fasi di decifrazione prima che il payload del malware si attivi. La novità è un terzo livello di crittografia aggiunto.


Analizzando alcuni nuovi campioni di malware, gli esperti di Kaspersky hanno compreso che Lazarus sta utilizzando la backdoor per una serie di attacchi a scopo di lucro. Dtrack viene impiegata per caricare, scaricare, lanciare o eliminare file sull’host della vittima. Uno dei file scaricati ed eseguiti già scoperti come parte del set di strumenti comuni di DTrack è un keylogger, oltre a un creatore di screenshot e a un modulo per raccogliere le informazioni sul sistema della vittima. Nel complesso, questo set di strumenti può aiutare i criminali informatici a effettuare movimenti laterali nell’infrastruttura della vittima, ad esempio per recuperare informazioni.

Le aziende prese di mira sono parti di infrastrutture critiche come l’istruzione, la lavorazione dei prodotti chimici, i centri di ricerca governativi e i ministeri politici, i fornitori di servizi informatici, le utility e le telecomunicazioni.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.