• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai
    • Infrastrutture critiche: la sicurezza è un imperativo
    • IA e Cybersecurity governano le strategie di investimento aziendali
    • Twin4Cyber e Maticmind alla Camera per parlare di cybercrime
    • Cybersecurity: ecco perché affidarsi a operatori italiani
    • Secure Workload Access di CyberArk protegge le identità a 360°
    • NIS2 e infrastrutture critiche: 4 passaggi da fare per essere pronti
    • Attacchi informatici: un 2024 all’insegna di ransomware e IA
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    BitMAT | Speciale Sicurezza 360×365
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    BitMAT | Speciale Sicurezza 360×365
    Sei qui:Home»Speciale Sicurezza»Attualità»Il cluster DeathNote evolve
    Attualità

    Il cluster DeathNote evolve

    By Redazione BitMAT17 Aprile 20235 Mins Read
    Facebook Twitter LinkedIn Tumblr Reddit Telegram WhatsApp Email

    Kaspersky avverte: dagli attacchi alle criptovalute al settore della difesa, il cluster DeathNote di Lazarus si evolve

    Il cluster DeathNote di Lazarus si evolve
    Foto di Arek Socha da Pixabay

    Il cluster DeathNote di Lazarus si evolve. Lo ha reso noto Kaspersky, che ha recentemente indagato su DeathNote, uno dei cluster che appartengono al noto gruppo Lazarus. DeathNote si è profondamente trasformato nel corso degli anni, iniziando nel 2019 con attacchi a società operanti nel settore delle criptovalute in tutto il mondo. Alla fine del 2022, era responsabile di campagne mirate che hanno colpito aziende IT e società di difesa in Europa, America Latina, Corea del Sud e Africa. L’ultimo report di Kaspersky traccia un cambiamento negli obiettivi di DeathNote, nonché lo sviluppo e il perfezionamento di strumenti, tecniche e procedure negli ultimi quattro anni.

    Ecco come il cluster DeathNote di Lazarus si evolve

    Il noto attore delle minacce, Lazarus, ha preso di mira le società che operano nell’ambito delle criptovalute per molto tempo. Monitorandone le attività, Kaspersky ha notato che in un caso ha utilizzato un malware modificato. A metà ottobre 2019, gli esperti si sono infatti imbattuti in un documento sospetto caricato su VirusTotal, in cui l’autore del malware ha utilizzato documenti esca che erano legati al business delle criptovalute, tra cui un questionario sull’acquisto di criptovalute specifiche, un’introduzione a una particolare criptovaluta e a una società di mining di bitcoin. Questa è stata la prima volta che la campagna DeathNote è entrata in gioco, prendendo di mira individui e aziende coinvolte nelle criptovalute a Cipro, negli Stati Uniti, a Taiwan e a Hong Kong.

    Il cluster DeathNote di Lazarus si evolveTuttavia, nell’aprile 2020 Kaspersky ha notato un cambiamento significativo nei vettori di infezione di DeathNote. La ricerca ha rivelato che questo cluster è stato sfruttato per colpire le associazioni dei settori automobilistico e accademico dell’Europa orientale legate all’industria della difesa. In questo periodo, l’attore ha cambiato tutti i documenti esca relativi alle descrizioni delle mansioni degli appaltatori del settore della difesa e di quelli relativi alla sfera diplomatica. Inoltre, ha perfezionato la sua catena di infezione, utilizzando la tecnica di iniezione di modelli remoti nei documenti incriminati, e ha utilizzato un software di visualizzazione PDF open-source di tipo trojan. Entrambi questi metodi di infezione portano allo stesso malware (DeathNote downloader), responsabile del trasferimento delle informazioni della vittima.

    A maggio 2021, Kaspersky ha osservato che un’azienda IT europea, che fornisce soluzioni per il monitoraggio di dispositivi di rete e server, è stata compromessa dal cluster DeathNote. Inoltre, all’inizio di giugno 2021, questo sottogruppo di Lazarus ha cominciato a utilizzare un nuovo meccanismo per infettare obiettivi in Corea del Sud. Ciò che ha attirato l’attenzione dei ricercatori è che la fase iniziale del malware è stata eseguita da un software legittimo, ampiamente utilizzato per la sicurezza in Corea del Sud.

    Monitorando DeathNote nel corso del 2022, i ricercatori di Kaspersky hanno scoperto che il cluster è stato responsabile degli attacchi a un fornitore di servizi per la difesa in America Latina. Il vettore di infezione iniziale era simile a quello già visto per altri obiettivi dello stesso settore e prevedeva l’uso di un lettore PDF di titpo trojan con un file PDF modificato. Tuttavia, in questo caso particolare, l’attore ha adottato una tecnica di side-loading per eseguire il payload finale.

    Nella campagna in corso, scoperta per la prima volta nel luglio 2022, è stato rivelato che il gruppo Lazarus ha violato con successo un appaltatore della difesa in Africa. L’infezione iniziale era costituita da un’applicazione PDF sospetta, inviata tramite Skype Messenger. Una volta eseguito, il lettore PDF ha creato un file legittimo (CameraSettingsUIHost.exe) e un file dannoso (DUI70.dll) nella stessa directory.

    Il cluster DeathNote di Lazarus si evolve“Il gruppo Lazarus è un noto attore di minacce e altamente qualificato. La nostra analisi del cluster DeathNote rivela una rapida evoluzione delle sue tattiche, tecniche e procedure nel corso degli anni. In questa campagna, Lazarus non si limita alle attività legate alla crittografia, ma è andato ben oltre. Utilizza sia un software legittimo che file dannosi per compromettere le società operanti nel settore della difesa. Poiché il gruppo Lazarus continua a perfezionare i suoi approcci, è fondamentale che le organizzazioni prestino attenzione e adottino misure proattive per difendersi”, ha commentato Seongsu Park, Lead Security Researcher, GReAT di Kaspersky.

    Per proteggersi da questo tipo di attacchi da parte di attori noti o sconosciuti, i ricercatori di Kaspersky consigliano di:

    • Eseguire un controllo di cybersecurity e monitorare costantemente le reti per correggere eventuali punti deboli o elementi dannosi scoperti lungo il perimetro o all’interno della rete.
    • Fornire al proprio personale una formazione di base sulla cybersecurity, poiché molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering.
    • Educare i propri dipendenti a scaricare software e applicazioni mobile solo da fonti affidabili e da app store ufficiali.
    • Utilizzare un prodotto EDR per consentire il rilevamento tempestivo degli incidenti e la risposta alle minacce avanzate. Un servizio come Kaspersky Managed Detection and Response offre funzionalità di threat hunting contro gli attacchi mirati.
    • Adottare una soluzione antifrode in grado di proteggere le transazioni in criptovaluta individuando e prevedendo il furto di account, le operazioni non verificate e il riciclaggio di denaro.

     

    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione BitMAT
    • Website
    • Facebook
    • X (Twitter)

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai

    23 Aprile 2025

    Infrastrutture critiche: la sicurezza è un imperativo

    18 Aprile 2025

    IA e Cybersecurity governano le strategie di investimento aziendali

    18 Aprile 2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Tag Cloud
    Acronis Akamai attacchi informatici Axitea Barracuda Networks Bitdefender Check Point Research Check Point Software Technologies CISO cloud Commvault CyberArk cybercrime Cybersecurity cyber security DDoS ESET F-Secure F5 Networks FireEye Fortinet Hacker Identity Security infrastrutture critiche intelligenza artificiale (AI) Iot Kaspersky malware minacce informatiche palo alto networks phishing Proofpoint ransomware Security SentinelOne sicurezza sicurezza informatica Sicurezza It SOC Stormshield Trend Micro Vectra AI WatchGuard Technologies Zero Trust Zscaler
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    Navigazione
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    Ultime

    Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai

    23 Aprile 2025

    Infrastrutture critiche: la sicurezza è un imperativo

    18 Aprile 2025

    IA e Cybersecurity governano le strategie di investimento aziendali

    18 Aprile 2025
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 - BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 295 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.