▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Anche gli APT sbagliano: l’errore che ha permesso di intercettare Lazarus

Un attaccante ha commesso un errore durante un attacco permettendo agli esperti di security di attribuire la responsabilità dell’incidente all’APT nord coreano Lazarus.

Tecnologie/Scenari

Gli attacchi portati avanti dagli stati nazionali sono quasi sempre contraddistinti dalla discrezionalità e dalla capacità di restare silenti per anni. Non è il caso di un incidente legato al gruppo nord coreano Lazarus, che è stato scoperto per un “errore di sicurezza operativa” commesso da uno degli attaccanti. Il dettaglio emerge da una ricerca di WithSecure, la costola business di F-Secure, in relazione a una campagna mirata contro organizzazioni di ricerca medica e aziende energetiche.

Per chi non lo conoscesse, Lazarus è un gruppo APT da tempo ritenuto colluso con il Foreign Intelligence and Reconnaissance Bureau della Corea del Nord. Da anni conduce attacchi ai danni di strutture e aziende della Corea del Sud e in generale l’estremo oriente. Di recente, tuttavia, Kaspersky ha rilevato attacchi anche nei confronti di società occidentali ed europee, fra cui alcune italiane.

Identificare le campagne di Lazarus non è mai semplice, ma a questo giro è stato un errore degli attaccanti a consentire di tracciarne le mosse. Tutto è iniziato con un sospetto attacco ransomware ai danni di un'organizzazione protetta dalla piattaforma di sicurezza cloud-native WithSecure Elements. Mentre conducevano le indagini, gli esperti di WithSecure hanno scoperto le prove che l'attacco faceva parte di una più ampia campagna di raccolta di informazioni. Non si trattava quindi di un incidente ransomware, ma di un’attività di spionaggio.


Gli obiettivi della campagna che è stato possibile identificare comprendevano un'organizzazione di ricerca sanitaria, un produttore di tecnologie utilizzate nei settori dell'energia, della ricerca, della difesa e della sanità, nonché il dipartimento di ingegneria chimica di un'importante università di ricerca. Sono state le tattiche, tecniche e procedure a consentire l’attribuzione, perché quelle impiegate nell’attacco sotto indagine erano le stesse utilizzate in precedenti attacchi da parte del gruppo e di altri aggressori associati alla Corea del Nord. Un colpo di fortuna, perché i ricercatori stessi sottolineano che è davvero insolito riuscire a collegare una campagna con tanta certezza a un autore. Soprattutto quando si tratta di un’attività APT.

Le indagini hanno inoltre consentito di scoprire nuovi elementi su Lazarus, come l'uso di nuove infrastrutture e l'utilizzo esclusivo di indirizzi IP senza nomi di dominio. Il gruppo ha inoltre sfruttato una versione modificata del noto malware Dtrack, utilizzato in attacchi precedenti da Lazarus Group e da un altro gruppo nord coreano noto come Kimsuky. I ricercatori hanno inoltre rilevato una nuova versione del malware GREASE che consente agli attaccanti di creare nuovi account di amministratore con privilegi di protocollo desktop remoto, aggirando i firewall.

Non meno importante è la scoperta che gli attaccanti hanno utilizzato per breve tempo uno dei meno di mille indirizzi IP appartenenti alla Corea del Nord. È questo l’errore chiave che ha agevolato le indagini: i ricercatori hanno potuto osservare l'indirizzo IP mentre si connetteva a una webshell controllata dagli aggressori, quasi certamente un errore manuale commesso da un membro del gruppo, che è costato lo smascheramento delle attività in corso.

I ricercatori di WithSecure sottolineano che comunque, nonostante il passo falso, gli attaccanti hanno dimostrato una buona tecnica e sono comunque riusciti a condurre azioni ponderate su endpoint accuratamente selezionati. Ecco perché gli esperti esortano a non abbassare mai la guardia e ad analizzare ogni caso con estrema attenzione. Nel documento completo della ricerca sono indicati tutti gli IoC e i dettagli tecnici.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter