Il gruppo ha preso di mira il settore della difesa con una backdoor personalizzata e soprannominata ThreatNeedle

lazarus apt

I ricercatori di Kaspersky hanno identificato una nuova campagna APT ad opera di Lazarus, un threat actor di minacce avanzate molto prolifico che risulta attivo almeno dal 2009 e al quale sono state attribuite una serie di campagne diverse tra loro. A partire dai primi mesi del 2020, il gruppo ha preso di mira il settore della difesa con una backdoor personalizzata e soprannominata ThreatNeedle. La backdoor esegue movimenti laterali attraverso le reti infette sottraendo informazioni sensibili.

Lazarus è uno dei threat actor più prolifici del momento. Attivo almeno dal 2009, questo gruppo è stato coinvolto in campagne di cyberspionaggio su larga scala, campagne ransomware e persino attacchi contro il mercato delle criptovalute. Negli ultimi anni il gruppo si è concentrato sulle istituzioni finanziarie ma all’inizio del 2020 ha aggiunto ai suoi obiettivi anche organizzazioni che operano nel settore della difesa.

I ricercatori di Kaspersky si sono resi conto dell’esistenza di questa nuova campagna nel momento in cui sono stati coinvolti in un’attività di incident response. Il team preposto alla gestione dell’incidente ha scoperto che l’organizzazione coinvolta era vittima di una backdoor personalizzata (ovvero un malware che consente il controllo da remoto completo sul dispositivo). Soprannominata ThreatNeedle, questa backdoor si muove lateralmente attraverso le reti infette ed estrae informazioni riservate. Ad oggi, sono state colpite organizzazioni in più di dodici Paesi.

L’infezione iniziale avviene utilizzando una tecnica di spear phishing. Le organizzazioni prese di mira ricevono una e-mail contente un allegato Word dannoso o un collegamento ad un file ospitato sui server aziendali. I messaggi di posta, inviati da presunti centri medici affidabili, dichiarano di contenere aggiornamenti urgenti relativi alla pandemia.

Nel momento in cui si apre il documento il malware viene rilasciato dando così il via al processo di distribuzione. Il malware ThreatNeedle, utilizzato in questa campagna, appartiene a una famiglia di malware del gruppo Lazarus nota come Manuscrypt ed era stato precedentemente rilevato in attacchi rivolti alle imprese di criptovaluta. Una volta installato, ThreatNeedle è in grado di ottenere il pieno controllo del dispositivo della vittima, il che significa che può fare qualsiasi cosa, dalla manipolazione dei file all’esecuzione dei comandi ricevuti.

Una delle tecniche più interessanti di questa campagna è la capacità del gruppo di rubare dati sia dalle reti IT dell’ufficio (ovvero una rete che contiene computer con accesso a Internet) e sia dalla rete limitata di un impianto (ovvero una rete che contiene mission-critical asset e computer con dati altamente sensibili e nessun accesso a Internet). Secondo la policy aziendale, nessuna informazione dovrebbe poter essere trasferita tra queste due reti. Tuttavia, gli amministratori possono connettersi a entrambe le reti per la gestione di questi sistemi. Lazarus è stato in grado di ottenere il controllo delle workstation degli amministratori per poi impostare un gateway malevolo e attaccare la rete limitata estraendo dati riservati.

“Lazarus non è solo molto prolifico, ma anche sofisticato. Questo gruppo, infatti, oltre a superare la segmentazione della rete, ha anche condotto ricerche approfondite per creare e-mail di spear phishing altamente personalizzate ed efficaci e ha costruito strumenti personalizzati per estrarre le informazioni rubate su un server remoto. Tenuto conto che molti settori e aziende fanno ancora molto affidamento al lavoro a distanza e che, quindi, sono ancora più vulnerabili, è importante che vengano prese ulteriori precauzioni di sicurezza per proteggersi da questo genere di attacchi avanzati”, ha aggiunto Vyacheslav Kopeytsev, security expert di Kaspersky ICS CERT.