{"id":5254,"date":"2021-02-26T15:32:31","date_gmt":"2021-02-26T14:32:31","guid":{"rendered":"https:\/\/www.bitmat.it\/specialesicurezza\/?p=5254"},"modified":"2021-02-26T15:32:31","modified_gmt":"2021-02-26T14:32:31","slug":"kaspersky-avverte-lazarus-prende-di-mira-il-settore-della-difesa","status":"publish","type":"post","link":"https:\/\/www.bitmat.it\/specialesicurezza\/news\/5254\/kaspersky-avverte-lazarus-prende-di-mira-il-settore-della-difesa","title":{"rendered":"Kaspersky avverte: Lazarus prende di mira il settore della difesa"},"content":{"rendered":"

I ricercatori di Kaspersky<\/strong><\/a> hanno identificato una nuova campagna APT<\/strong> a opera di Lazarus<\/strong>, un threat actor di minacce avanzate<\/strong> molto prolifico che risulta attivo almeno dal 2009 e al quale sono state attribuite una serie di campagne diverse tra loro.<\/p>\n

A partire dai primi mesi del 2020, il gruppo ha preso di mira il settore della<\/strong> difesa<\/strong> con una backdoor personalizzata e soprannominata ThreatNeedle<\/strong><\/a>. La backdoor esegue movimenti laterali attraverso le reti infette sottraendo informazioni sensibili.<\/p>\n

Lazarus \u00e8 uno dei threat actor pi\u00f9 prolifici del momento<\/strong>. Attivo almeno dal 2009<\/strong>, questo gruppo \u00e8 stato coinvolto in campagne di<\/strong> cyberspionaggio<\/strong> su larga scala<\/strong>, campagne ransomware<\/strong> e persino attacchi contro il mercato delle criptovalute<\/strong>. Negli ultimi anni il gruppo si \u00e8 concentrato sulle istituzioni finanziarie<\/strong> ma all\u2019inizio del 2020<\/strong> ha aggiunto ai suoi obiettivi anche organizzazioni che operano nel settore della difesa<\/strong>.<\/p>\n

Silente, Lazarus, si espande a macchia d\u2019olio<\/strong><\/h3>\n

I ricercatori di Kaspersky si sono resi conto dell\u2019esistenza di questa nuova campagna nel momento in cui sono stati coinvolti in un\u2019attivit\u00e0 di incident response. Il team preposto alla gestione dell\u2019incidente ha scoperto che l\u2019organizzazione coinvolta era vittima di una backdoor personalizzata<\/strong> (ovvero un malware che consente il controllo da remoto completo sul dispositivo). Soprannominata ThreatNeedle<\/strong>, questa backdoor si muove lateralmente attraverso le reti infette ed estrae informazioni riservate.<\/p>\n

A oggi, sono state colpite organizzazioni in pi\u00f9 di dodici Paesi<\/strong>.<\/p>\n

L\u2019infezione iniziale avviene utilizzando una tecnica di spear phishing. Le organizzazioni prese di mira ricevono una e-mail contente un allegato Word dannoso o un collegamento ad un file ospitato sui server aziendali<\/strong>. I messaggi di posta, inviati da presunti centri medici affidabili, dichiarano di contenere aggiornamenti urgenti relativi alla pandemia<\/strong>.<\/p>\n

Nel momento in cui si apre il documento il malware viene rilasciato dando cos\u00ec il via al processo di distribuzione. Il malware ThreatNeedle, utilizzato in questa campagna, appartiene a una famiglia di malware del gruppo Lazarus nota come Manuscrypt<\/strong> ed era stato precedentemente rilevato in attacchi rivolti alle imprese di criptovaluta. Una volta installato, ThreatNeedle \u00e8 in grado di ottenere il pieno controllo del dispositivo della vittima, il che significa che pu\u00f2 fare qualsiasi cosa, dalla manipolazione dei file all\u2019esecuzione dei comandi ricevuti.<\/p>\n

Una delle tecniche pi\u00f9 interessanti di questa campagna \u00e8 la capacit\u00e0 del gruppo di rubare dati sia dalle reti IT dell\u2019ufficio<\/strong> (ovvero una rete che contiene computer con accesso a Internet) e sia dalla rete limitata di un impianto<\/strong> (ovvero una rete che contiene mission-critical asset e computer con dati altamente sensibili e nessun accesso a Internet). Secondo la policy aziendale, nessuna informazione dovrebbe poter essere trasferita tra queste due reti. Tuttavia, gli amministratori possono connettersi a entrambe le reti per la gestione di questi sistemi. Lazarus \u00e8 stato in grado di ottenere il controllo delle workstation degli amministratori per poi impostare un gateway malevolo e attaccare la rete limitata estraendo dati riservati.<\/p>\n

Lazarus non \u00e8 solo molto prolifico, ma anche sofisticato<\/strong><\/h3>\n

\"\"<\/a>Come sottolineato in una nota ufficiale da Seongsu Park<\/strong>, senior security researcher with the Global Research and Analysis Team (GReAT)<\/strong><\/a>: \u00abLazarus \u00e8 stato forse il threat actor pi\u00f9 attivo del 2020 e questo \u00e8 un trend che non accenna a diminuire. Infatti, gi\u00e0 a gennaio di quest\u2019anno, il Threat Analysis Team di Google ha riferito che Lazarus aveva utilizzato questa stessa backdoor per colpire i ricercatori di sicurezza. In futuro, ci aspettiamo di incontrare ancora ThreatNeedle e per questo terremo gli occhi aperti\u00bb.<\/p>\n

Come aggiunto da Vyacheslav Kopeytsev<\/strong>, security expert di Kaspersky ICS CERT<\/strong>: \u00abLazarus non \u00e8 solo molto prolifico, ma anche sofisticato. Questo gruppo, infatti, oltre a superare la segmentazione della rete, ha anche condotto ricerche approfondite per creare e-mail di spear phishing altamente personalizzate ed efficaci e ha costruito strumenti personalizzati per estrarre le informazioni rubate su un server remoto. Tenuto conto che molti settori e aziende fanno ancora molto affidamento al lavoro a distanza e che, quindi, sono ancora pi\u00f9 vulnerabili, \u00e8 importante che vengano prese ulteriori precauzioni di sicurezza per proteggersi da questo genere di attacchi avanzati<\/em>\u00bb.<\/p>\n

Per proteggersi da attacchi come ThreatNeedle, gli esperti di Kaspersky raccomandano di: <\/strong><\/p>\n