Hi TechNerdangolo

Kaspersky nuovi cyberattacchi causati da Lazarus rivolti alle supply chain in Corea del Sud

Danilo Battista
Danilo Battista 3 settimane fa
9 Min Lettura

Il team GReAT di Kaspersky ha scoperto una nuova sofisticata campagna Lazarus, che combina attacchi watering hole e lo sfruttamento di vulnerabilità di software terzi per colpire aziende in Corea del Sud. Dalla ricerca, gli esperti di Kaspersky hanno anche scoperto una vulnerabilità zero-day nel software sudcoreano Innorix Agent, ampiamente utilizzato e tempestivamente patchato. I risultati, rivelati in occasione del GITEX Asia, sottolineano come Lazarus sia in grado, attraverso la sua conoscenza approfondita dell’ecosistema software della Corea del Sud, di eseguire cyberattacchi altamente sofisticati e multistadio.

Secondo il nuovo report di Kaspersky GReAT (Global Research and Analysis Team), gli aggressori hanno preso di mira almeno sei aziende in Corea del Sud nei settori software, IT, finanziario, dei semiconduttori e delle telecomunicazioni. Tuttavia, il numero effettivo di vittime potrebbe essere più alto. I ricercatori di Kaspersky hanno soprannominato questa campagna “Operation SyncHole”.

Il gruppo Lazarus, attivo almeno dal 2009, è un attore di minacce famoso e dispone di molte risorse. Recentemente è stata scoperta una nuova campagna in cui il gruppo sfruttava una vulnerabilità one-day di Innorix Agent, uno strumento di terze parti integrato nel browser e utilizzato per il trasferimento sicuro di file all’interno di sistemi amministrativi e finanziari. Sfruttando questa vulnerabilità, i cybercriminali sono stati in grado di facilitare gli spostamenti laterali, consentendo l’installazione di altri malware sull’host interessato. Questa operazione ha portato alla distribuzione di malware a firma Lazarus, come ThreatNeedle e LPEClient, ampliando così la loro posizione all’interno dei network interni. L’exploit fa parte di una più ampia catena di attacchi distribuiti tramite il downloader Agamemnon, specificamente mirati a una versione vulnerabile di Innorix (9.2.18.496).

Analizzando il comportamento del malware, gli esperti del GReAT di Kaspersky hanno scoperto un’altra vulnerabilità zero-day correlata al download automatico dei file, prima che i cybercriminali la utilizzassero per effettuare attacchi. Kaspersky ha segnalato il problema di Innorix Agent alla Korea Internet & Security Agency (KrCERT) e all’azienda produttrice. Il software è stato successivamente aggiornato con delle versioni patchate, mentre per la vulnerabilità è stato assegnato l’identificativo KVE-2025-0014.

“Il nostro approccio proattivo in materia di sicurezza informatica è fondamentale ed è proprio grazie a questo approccio che la nostra analisi approfondita sul malware ha permesso di individuare una vulnerabilità sconosciuta prima che si manifestassero episodi di utilizzo reale. L’individuazione tempestiva di tali minacce è fondamentale per evitare di compromettere in modo più ampio i sistemi”, ha commentato Sojun Ryu, Security Researcher del GReAT (Global Research and Analysis Team) di Kaspersky.

Prima delle scoperte relative a INNORIX, gli esperti di Kaspersky avevano già scoperto l’uso di una variante della backdoor ThreatNeedle e SIGNBT in attacchi avvenuti successivamente in Corea del Sud. Il malware, in esecuzione all’interno della memoria del processo SyncHost.exe legittimo, è apparso come sottoprocesso di Cross EX, un software sudcoreano legittimo progettato per supportare l’utilizzo di strumenti di sicurezza in vari ambienti browser.

L’analisi dettagliata della campagna ha confermato che lo stesso vettore di attacco è stato regolarmente riscontrato in altre cinque aziende in Corea del Sud. In ogni caso, la catena di infezioni sembrava avere origine da una potenziale vulnerabilità di Cross EX, suggerendo che si trattasse del punto di partenza dell’infezione. In particolare, un recente avviso di sicurezza pubblicato dal KrCERT ha confermato la presenza di una vulnerabilità in CrossEX, che nel frattempo è stata patchata nel corso di questa ricerca. 

“Queste scoperte ribadiscono la preoccupazione generica verso la sicurezza: i plugin e gli strumenti di supporto di terze parti del browser aumentano in modo significativo le possibilità di attacco, in particolare per gli ambienti che si affidano a software specifici di una determinata zona o obsoleti. Questi elementi vengono spesso eseguiti tramite livelli di priorità elevati, restano in memoria e interagiscono in modo profondo con i processi del browser, rendendoli molto interessanti e spesso più facili da attaccare rispetto ai browser moderni”, ha commentato Igor Kuznetsov, Director del GReAT (Global Research and Analysis Team) di Kaspersky.

Modalità di esecuzione degli attacchi di Operation SyncHole

Il Gruppo Lazarus ha sfruttato siti web compromessi di media online, solitamente frequentati da un gran numero di utenti, per attirare l’attenzione – questa tecnica di attacco è nota come “watering hole”. I cybercriminali sono riusciti a filtrare il traffico in entrata per identificare gli utenti da attaccare, reindirizzandoli selettivamente verso siti web controllati direttamente dal gruppo, tramite una serie di operazioni tecniche che hanno dato il via alla catena di attacchi, evidenziando la natura altamente mirata e strategica dell’Operazione SyncHole.

 

Ulteriori informazioni sull’ultima campagna di Lazarus sono disponibili su Securelist.com

I prodotti di Kaspersky sono in grado di rilevare gli exploit e i malware utilizzati per questo attacco utilizzando i seguenti parametri: Trojan.Win64.Lazarus.*, Trojan.Win32.Lazarus.*, MEM:Trojan.Win32.Cometer.gen, MEM:Trojan.Win32.SEPEH.gen, Trojan.Win32.Manuscrypt.*, Trojan.Win64.Manuscrypt.*, Trojan.Win32.Zenpak.*

Per difendersi da Lazarus e da altri attacchi APT (Advanced Persistent Threat), Kaspersky consiglia di svolgere un’accurata attività di rilevamento, rispondere rapidamente agli attacchi conosciuti e rimediare tempestivamente alle vulnerabilità. Kaspersky consiglia inoltre di:

  • Aggiornare regolarmente il software di tutti i dispositivi che si utilizzano per evitare che i cybercriminali riescano ad accedere alla rete sfruttando le vulnerabilità.
  • Effettuare audit di cybersecurity delle reti e delle risorse per individuare eventuali lacune o sistemi vulnerabili ed eventualmente correggere i punti deboli scoperti sia nel perimetro che all’interno della rete. 
  • Utilizzare una soluzione come quelle della linea di prodotti Kaspersky Next che offrono protezione in tempo reale, visibilità delle minacce analisi e risposta EDR e XDR per aziende di qualsiasi dimensione e settore.
  • Fornire ai professionisti dell’InfoSec una panoramica approfondita sulle minacce informatiche che colpiscono l’azienda. La soluzione Threat Intelligence di Kaspersky permette alle aziende di avere a disposizione uno scenario completo e dettagliato durante l’intero ciclo di gestione degli incidenti, permettendo loro di identificare i rischi informatici in modo tempestivo.

Global Research & Analysis Team

Fondato nel 2008, il Global Research & Analysis Team (GReAT) è il cuore di Kaspersky e si occupa di scoprire APT, campagne di cyberspionaggio, principali malware, ransomware e strategie criminali clandestine in tutto il mondo. Oggi il GReAT è composto da oltre 30 esperti che lavorano a livello globale, in Europa, Russia, America Latina, Asia e Medio Oriente. Professionisti della sicurezza di grande esperienza che guidano l’azienda nella ricerca e nell’innovazione anti-malware, mettendo a disposizione expertise, passione e curiosità senza precedenti per la ricerca e l’analisi delle minacce informatiche.

Informazioni su Kaspersky

Kaspersky è un’azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell’azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo milioni di persone e oltre 200.000 aziende a proteggere ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/ 

Seguici su:

https://twitter.com/KasperskyLabIT 

http://www.facebook.com/kasperskylabitalia

https://www.linkedin.com/company/kaspersky-lab-italia

https://www.instagram.com/kasperskylabitalia/

https://t.me/KasperskyItalia

Potrebbe piacerti anche

GO! 2025 incontra il settimanale “Topolino” in occasione di Nova Gorica- Gorizia Capitale europea della Cultura

Metti le mani su un’imperdibile collezione di giochi di combattimento con la Capcom Fighting Collection 2, disponibile ora!

LA PRIMA ESPANSIONE DELLA STORIA DI KINGDOM COME: DELIVERANCE II, BRUSHES WITH DEATH, E’ DISPONIBILE ORA

THE JOJOLANDS: si apre la nona saga de LE BIZZARRE AVVENTURE DI JOJO!

Lucca Comics & Games accoglie la “corsa rosa” con le opere di Karl Kopinski

Share this Article
Pubblicato da Danilo Battista
Follow:
Appassionato sin da piccolo della cultura giapponese, è stato rapito tanti anni fa da Goldrake e portato su Vega. Tornato sulla Terra la sua viscerale passione per l'universo nipponico l'ha portato nel corso degli anni a conoscere ed amare ogni sfumatura della cultura del Sol Levante. Su Senzalinea ha cominciato a scrivere di tecnologia e di cosplay. Da diverso tempo gestisce la sezione "Nerdangolo" ma ha promesso che un giorno, neanche tanto lontano, tornerà su Vega...
Previous Article SOMNA: l’opera rivoluzionaria di Tula Lotay e Becky Cloonan
Next Article Aids, speranze da terapie long acting e PrEP, il punto degli infettivologi Simit

Ultime notizie

Fantasy Day 2025: tutte le ultime notizie + alcune sorprese!
8 ore fa Danilo Battista
GO! 2025 incontra il settimanale “Topolino” in occasione di Nova Gorica- Gorizia Capitale europea della Cultura
9 ore fa Danilo Battista
Metti le mani su un’imperdibile collezione di giochi di combattimento con la Capcom Fighting Collection 2, disponibile ora!
9 ore fa Danilo Battista
LA PRIMA ESPANSIONE DELLA STORIA DI KINGDOM COME: DELIVERANCE II, BRUSHES WITH DEATH, E’ DISPONIBILE ORA
10 ore fa Danilo Battista
THE JOJOLANDS: si apre la nona saga de LE BIZZARRE AVVENTURE DI JOJO!
10 ore fa Danilo Battista
Lucca Comics & Games accoglie la “corsa rosa” con le opere di Karl Kopinski
10 ore fa Danilo Battista
Kaspersky riconosciuta Leader da Frost Radar per la Cyber Threat Intelligence
10 ore fa Danilo Battista
Zero Day è finzione… ma fino a un certo punto: l’analisi di Akamai
10 ore fa Danilo Battista
Malattie rare, Sla: si è chiusa oggi a Jesi la conferenza nazionale di Aisla
11 ore fa Redazione
Lavoro, al Net Forum di Capri 2025: l’AI alla prova dell’intelligenza naturale
11 ore fa Redazione
Lost your password?