L’ultima ricerca WithSecure (precedentemente nota come F-Secure Business) ha permesso di ricondurre una campagna di attacchi informatici a Lazarus Group, noto gruppo APT della Corea del Nord. Grazie anche a un errore di sicurezza operativa da parte di un attaccante.
WithSecure presenta Lazarus Group
Lazarus Group è un gruppo APT (advanced persistent threat) che si ritiene faccia parte del Foreign Intelligence and Reconnaissance Bureau della Corea del Nord. I ricercatori hanno scoperto l’ultima campagna di tali attaccanti dopo che è stato rilevato un sospetto attacco ransomware in un’organizzazione protetta dalla piattaforma di sicurezza cloud-native WithSecure Elements.
Dopo aver indagato sull’attacco, i ricercatori hanno scoperto ulteriori prove che indicano che l’attacco faceva parte di una più ampia campagna di raccolta di informazioni piuttosto che di un incidente ransomware.
Settore medico ed energetico nel mirino
Sulla base delle prove raccolte, i ricercatori WithSecure sono stati in grado di collegare la campagna al Lazarus Group, che prendeva di mira organizzazioni di ricerca medica ed aziende energetiche con l’intento di commettere spionaggio.
Gli obiettivi specifici della campagna identificati dai ricercatori comprendevano un’organizzazione di ricerca sanitaria, un produttore di tecnologie utilizzate nei settori dell’energia, della ricerca, della difesa e della sanità, nonché il dipartimento di ingegneria chimica di un’importante università di ricerca.
“Inizialmente i sospetti riconducevano ad un tentativo di attacco ransomware BianLian, ma le prove raccolte hanno rapidamente indicato una direzione diversa. E man mano che raccoglievamo altre prove, acquisivamo sempre più certezza che l’attacco fosse condotto da un gruppo collegato al governo nordcoreano, portandoci infine a concludere con sicurezza che si trattasse del Lazarus Group”, afferma Sani Ruohonen, Senior Threat Intelligence Researcher di WithSecure.
WithSecure spiega l’attacco
I ricercatori di WithSecure sono stati in grado di collegare la campagna a Lazarus Group in base all’uso di tattiche, tecniche e procedure utilizzate in precedenti attacchi da parte del gruppo e di altri aggressori associati alla Corea del Nord.
I ricercatori hanno rilevato diversi sviluppi degni di nota in questa campagna rispetto alle precedenti attività del Gruppo Lazarus, tra cui:
- L’uso di nuove infrastrutture, tra cui l’utilizzo esclusivo di indirizzi IP senza nomi di dominio (in deroga agli attacchi precedenti).
- Una versione modificata del malware per il furto di informazioni Dtrack, utilizzato da Lazarus Group e Kimsuky (un altro gruppo associato alla Corea del Nord) in attacchi precedenti.
- Una nuova versione del malware GREASE che consente agli attaccanti di creare nuovi account di amministratore con privilegi di protocollo desktop remoto, aggirando i firewall.
E poi, l’errore
Un elemento di rilievo scoperto dai ricercatori è che gli attaccanti hanno utilizzato per breve tempo uno dei meno di mille indirizzi IP appartenenti alla Corea del Nord. L’indirizzo IP è stato osservato mentre si connetteva a una webshell controllata dagli aggressori per un breve periodo, il che ha indotto i ricercatori a sospettare che si trattasse di un errore manuale commesso da un membro del gruppo.
Tuttavia, errori come questo non devono essere interpretati dai difensori come un motivo per abbassare la guardia.
“Nonostante gli errori di opsec, l’attore ha dimostrato una buona tecnica ed è riuscito a eseguire azioni ponderate su endpoint accuratamente selezionati. Anche con tecnologie accurate di rilevamento degli endpoint, le organizzazioni devono considerare continuamente come rispondere agli avvisi e integrare informazioni mirate sulle minacce con ricerche regolari per fornire una migliore difesa in profondità, in particolare contro avversari capaci e abili”, conclude Tim West, Head of Threat Intelligence di WithSecure.
