I ricercatori di Kaspersky hanno identificato una nuova campagna APT ad opera di Lazarus, un threat actor di minacce avanzate molto prolifico che risulta attivo almeno dal 2009 e al quale sono state attribuite una serie di campagne diverse tra loro. A partire dai primi mesi del 2020, il gruppo ha preso di mira il settore della difesa con una backdoor personalizzata e soprannominata ThreatNeedle. La backdoor esegue movimenti laterali attraverso le reti infette sottraendo informazioni sensibili.
Lazarus è uno dei threat actor più prolifici del momento. Attivo almeno dal 2009, questo gruppo è stato coinvolto in campagne di cyberspionaggio su larga scala, campagne ransomware e persino attacchi contro il mercato delle criptovalute. Negli ultimi anni il gruppo si è concentrato sulle istituzioni finanziarie ma all’inizio del 2020 ha aggiunto ai suoi obiettivi anche organizzazioni che operano nel settore della difesa.
I ricercatori di Kaspersky si sono resi conto dell’esistenza di questa nuova campagna nel momento in cui sono stati coinvolti in un’attività di incident response. Il team preposto alla gestione dell’incidente ha scoperto che l’organizzazione coinvolta era vittima di una backdoor personalizzata (ovvero un malware che consente il controllo da remoto completo sul dispositivo). Soprannominata ThreatNeedle, questa backdoor si muove lateralmente attraverso le reti infette ed estrae informazioni riservate. Ad oggi, sono state colpite organizzazioni in più di dodici Paesi.
L’infezione iniziale avviene utilizzando una tecnica di spear phishing. Le organizzazioni prese di mira ricevono una e-mail contente un allegato Word dannoso o un collegamento ad un file ospitato sui server aziendali. I messaggi di posta, inviati da presunti centri medici affidabili, dichiarano di contenere aggiornamenti urgenti relativi alla pandemia.
Nel momento in cui si apre il documento il malware viene rilasciato dando così il via al processo di distribuzione. Il malware ThreatNeedle, utilizzato in questa campagna, appartiene a una famiglia di malware del gruppo Lazarus nota come Manuscrypt ed era stato precedentemente rilevato in attacchi rivolti alle imprese di criptovaluta. Una volta installato, ThreatNeedle è in grado di ottenere il pieno controllo del dispositivo della vittima, il che significa che può fare qualsiasi cosa, dalla manipolazione dei file all’esecuzione dei comandi ricevuti.
Una delle tecniche più interessanti di questa campagna è la capacità del gruppo di rubare dati sia dalle reti IT dell’ufficio (ovvero una rete che contiene computer con accesso a Internet) e sia dalla rete limitata di un impianto (ovvero una rete che contiene mission-critical asset e computer con dati altamente sensibili e nessun accesso a Internet). Secondo la policy aziendale, nessuna informazione dovrebbe poter essere trasferita tra queste due reti. Tuttavia, gli amministratori possono connettersi a entrambe le reti per la gestione di questi sistemi. Lazarus è stato in grado di ottenere il controllo delle workstation degli amministratori per poi impostare un gateway malevolo e attaccare la rete limitata estraendo dati riservati.
“Lazarus è stato forse il threat actor più attivo del 2020 e questo è un trend che non accenna a diminuire. Infatti, già a gennaio di quest’anno, il Threat Analysis Team di Google ha riferito che Lazarus aveva utilizzato questa stessa backdoor per colpire i ricercatori di sicurezza. In futuro, ci aspettiamo di incontrare ancora ThreatNeedle e per questo terremo gli occhi aperti”, ha commentato Seongsu Park, senior security researcher with the Global Research and Analysis Team (GReAT).
“Lazarus non è solo molto prolifico, ma anche sofisticato. Questo gruppo, infatti, oltre a superare la segmentazione della rete, ha anche condotto ricerche approfondite per creare e-mail di spear phishing altamente personalizzate ed efficaci e ha costruito strumenti personalizzati per estrarre le informazioni rubate su un server remoto. Tenuto conto che molti settori e aziende fanno ancora molto affidamento al lavoro a distanza e che, quindi, sono ancora più vulnerabili, è importante che vengano prese ulteriori precauzioni di sicurezza per proteggersi da questo genere di attacchi avanzati”, ha aggiunto Vyacheslav Kopeytsev, security expert di Kaspersky ICS CERT.
È possibile leggere maggiori informazioni sulla campagna ThreatNeedle sul sito web di Kaspersky ICS CERT.
Per proteggersi da attacchi come ThreatNeedle, gli esperti di Kaspersky raccomandano di:
⦁ Fornire al personale una formazione di base sulla ⦁ cyber ⦁ hygi⦁ e⦁ ne, poiché molti attacchi mirati iniziano proprio con tecniche di ingegneria sociale come il phishing.
⦁ Se un’azienda utilizza una tecnologia operativa (OT) o ha una infrastruttura critica, è importante assicurarsi che queste siano separate dalla rete aziendale o che non ci siano connessioni non autorizzate.
⦁ Assicurarsi che i dipendenti conoscano e seguano le politiche di sicurezza informatica.
⦁ Fornire al team SOC l’accesso alla più recente threat intelligence (TI). Il ⦁ Kaspersky Threat Intelligence Portal è un punto di accesso unico per la TI dell’azienda, che fornisce dati sugli attacchi informatici e approfondimenti raccolti da Kaspersky in oltre 20 anni di esperienza.
⦁ Implementare una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come ⦁ Kaspersky Anti ⦁ Targeted⦁ Attack Platform.
⦁ Implementare una soluzione dedicata ai nodi e alle reti industriali che consenta il monitoraggio del traffico di rete OT, l’analisi e il rilevamento delle minacce, come ⦁ Kaspersky Industrial ⦁ CyberSecurity.
Informazioni su Kaspersky ICS CERT
Kaspersky Industrial Control Systems Cyber Emergency Response Team (Kaspersky ICS CERT) è un progetto globale lanciato da Kaspersky nel 2016 per coordinare gli sforzi dei vendor di sistemi di automazione, dei proprietari o degli operatori di impianti industriali e dei ricercatori sulla sicurezza IT per proteggere le imprese industriali dagli attacchi informatici. Kaspersky ICS CERT dedica i suoi sforzi principalmente all’identificazione delle minacce, potenziali o esistenti, che colpiscono i sistemi di automazione industriale e il mondo dell’IIoT. Kaspersky ICS CERT è membro attivo e partner di importanti organizzazioni internazionali che elaborano una serie di raccomandazioni dedicate alla protezione delle imprese industriali dalle minacce informatiche. Per ulteriori informazioni: ics-cert.kaspersky.com
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 250.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
