Kaspersky scopre nuovi attacchi di Lazarus rivolti al settore nucleare che utilizzano il nuovo malware CookiePlus
Secondo il Global Research and Analysis Team di Kaspersky, la principale operazione del gruppo Lazarus, conosciuta come “Operation DreamJob”, continua a evolversi con nuove e sofisticate tattiche da oltre cinque anni. Tra gli ultimi obiettivi ci sono i dipendenti di un’azienda che opera nel settore nucleare, colpiti da tre file di archivio compromessi, camuffati da test di valutazione delle competenze per professionisti IT. Questa campagna sfrutta diversi malware avanzati, tra cui una nuova modular backdoor, CookiePlus, che si maschera da plugin open-source.
Il GReAT di Kaspersky ha recentemente scoperto una nuova campagna legata all’Operazione DreamJob, anche nota come DeathNote, un cluster associato al celebre gruppo Lazarus. Questa campagna è emersa nel 2019, inizialmente con attacchi rivolti ad aziende del settore delle criptovalute, per poi evolversi nel corso degli anni. Nel 2024, si è estesa anche a obiettivi del settore IT e della difesa in Europa, America Latina, Corea del Sud e Africa. Il recente report di Kaspersky fornisce nuove informazioni su un’ulteriore fase dell’attività, che ha preso di mira i dipendenti di una società brasiliana che opera nel nucleare e quelli di una società non identificata in Vietnam.
In un mese, Lazarus ha preso di mira almeno due dipendenti della stessa azienda, inviando loro più file di archivio camuffati da test di valutazione delle competenze per posizioni IT presso importanti aziende del settore aerospaziale e della difesa. Inizialmente, i file sono stati inviati agli host A e B all’interno della stessa organizzazione. Dopo un mese, sono stati lanciati attacchi più severi contro il primo obiettivo, probabilmente sfruttando le piattaforme di ricerca lavoro, come LinkedIn, per fornire le prime istruzioni e ottenere accesso agli obiettivi.
Lazarus ha perfezionato le sue tecniche di distribuzione e di persistenza tramite una complessa infection chain, che ha coinvolto vari tipi di malware, tra cui downloader, loader e backdoor. L’attacco si è sviluppato in diverse fasi, usando software VNC trojanizzati, remote desktop viewer per Windows e strumenti VNC legittimi. Nella prima fase, è stato usato un AmazonVNC.exe trojanizzato, che ha decriptato ed eseguito un downloader chiamato Ranid Downloader, capace di estrarre risorse interne dall’eseguibile VNC. Un secondo archivio conteneva un file dannoso chiamato vnclang.dll, che caricava il malware MISTPEN, il quale a sua volta scaricava payload aggiuntivi, tra cui RollMid e una nuova variante di LPEClient.
Percorso dei file dannosi creati nell’host della vittima
Inoltre, è stata distribuita una backdoor sconosciuta basata su plugin, che gli esperti del GReAT di Kaspersky hanno denominato CookiePlus. Questo malware si nascondeva dietro ComparePlus, un plugin open-source di Notepad++. Una volta installato, il malware raccoglieva informazioni di sistema, come nome del computer, process ID e percorsi dei file, e metteva in “pausa” il suo modulo principale per un periodo predefinito. Inoltre, modificava il proprio programma di esecuzione agendo su un file di configurazione.
“Ci sono dei rischi significativi, tra cui il furto di dati, dal momento che Operation DreamJob raccoglie informazioni sensibili che potrebbero essere sfruttate per il furto d’identità o lo spionaggio. La capacità del malware di ritardare le proprie azioni gli consente di evitare il rilevamento al momento dell’infezione e conseguentemente di rimanere attivo nel sistema per periodi più lunghi. Impostando tempi di esecuzione specifici, può operare a intervalli così da ridurre il rischio di essere individuato. Inoltre, il malware potrebbe manipolare i processi di sistema, rendendo ancora più difficile il rilevamento e aumentando il rischio di danni ulteriori o di un uso improprio del sistema”, ha dichiarato Sojun Ryu, Security Experts del Global Research and Analysis Team di Kaspersky.
Per ulteriori informazioni sulla nuova campagna Lazarus, è possibile consultare Securelist.
Global Research & Analysis Team
Fondato nel 2008, il Global Research & Analysis Team (GReAT) è il cuore di Kaspersky e si occupa di scoprire APT, campagne di cyberspionaggio, principali malware, ransomware e strategie criminali clandestine in tutto il mondo. Oggi il GReAT è composto da oltre 40 esperti che lavorano a livello globale, in Europa, Russia, America Latina, Asia e Medio Oriente. Professionisti della sicurezza di grande esperienza che guidano l’azienda nella ricerca e nell’innovazione anti-malware, mettendo a disposizione expertise, passione e curiosità senza precedenti per la ricerca e l’analisi delle minacce informatiche.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di cybersecurity e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti dalle minacce informatiche emergenti e dagli attacchi mirati, la profonda esperienza di Kaspersky in materia di sicurezza e di Threat Intelligence si trasforma costantemente in soluzioni e servizi innovativi per la sicurezza di aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. Il portfolio completo dell’azienda comprende una protezione Endpoint leader, prodotti e servizi di sicurezza specializzati e soluzioni Cyber Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo oltre 200.000 aziende a proteggere ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia
