– Milano, 19 dicembre 2024
Secondo il Global Research and Analysis Team di Kaspersky, la principale operazione del gruppo Lazarus, conosciuta come “Operation DreamJob”, continua a evolversi con nuove e sofisticate tattiche da oltre cinque anni. Tra gli ultimi obiettivi ci sono i dipendenti di un’azienda che opera nel settore nucleare, colpiti da tre file di archivio compromessi, camuffati da test di valutazione delle competenze per professionisti IT. Questa campagna sfrutta diversi malware avanzati, tra cui una nuova modular backdoor, CookiePlus, che si maschera da plugin open-source.
In un mese, Lazarus ha preso di mira almeno due dipendenti della stessa azienda, inviando loro più file di archivio camuffati da test di valutazione delle competenze per posizioni IT presso importanti aziende del settore aerospaziale e della difesa. Inizialmente, i file sono stati inviati agli host A e B all’interno della stessa organizzazione. Dopo un mese, sono stati lanciati attacchi più severi contro il primo obiettivo, probabilmente sfruttando le piattaforme di ricerca lavoro, come LinkedIn, per fornire le prime istruzioni e ottenere accesso agli obiettivi.
Lazarus ha perfezionato le sue tecniche di distribuzione e di persistenza tramite una complessa infection chain, che ha coinvolto vari tipi di malware, tra cui downloader, loader e backdoor. L’attacco si è sviluppato in diverse fasi, usando software VNC trojanizzati, remote desktop viewer per Windows e strumenti VNC legittimi. Nella prima fase, è stato usato un AmazonVNC.exe trojanizzato, che ha decriptato ed eseguito un downloader chiamato Ranid Downloader, capace di estrarre risorse interne dall’eseguibile VNC. Un secondo archivio conteneva un file dannoso chiamato vnclang.dll, che caricava il malware MISTPEN, il quale a sua volta scaricava payload aggiuntivi, tra cui RollMid e una nuova variante di LPEClient.
Percorso dei file dannosi creati nell’host della vittima
“Ci sono dei rischi significativi, tra cui il furto di dati, dal momento che Operation DreamJob raccoglie informazioni sensibili che potrebbero essere sfruttate per il furto d’identità o lo spionaggio. La capacità del malware di ritardare le proprie azioni gli consente di evitare il rilevamento al momento dell’infezione e conseguentemente di rimanere attivo nel sistema per periodi più lunghi. Impostando tempi di esecuzione specifici, può operare a intervalli così da ridurre il rischio di essere individuato. Inoltre, il malware potrebbe manipolare i processi di sistema, rendendo ancora più difficile il rilevamento e aumentando il rischio di danni ulteriori o di un uso improprio del sistema”, ha dichiaratoSojun Ryu, Security Experts del Global Research and Analysis Team di Kaspersky.
Global Research & Analysis Team
Fondato nel 2008, il Global Research & Analysis Team (GReAT) è il cuore di Kaspersky e si occupa di scoprire APT, campagne di cyberspionaggio, principali malware, ransomware e strategie criminali clandestine in tutto il mondo. Oggi il GReAT è composto da oltre 40 esperti che lavorano a livello globale, in Europa, Russia, America Latina, Asia e Medio Oriente. Professionisti della sicurezza di grande esperienza che guidano l’azienda nella ricerca e nell’innovazione anti-malware, mettendo a disposizione expertise, passione e curiosità senza precedenti per la ricerca e l’analisi delle minacce informatiche.
Informazioni su Kaspersky
Seguici su:
https://t.me/KasperskyItalia
Contatto di redazione: Noesis Kaspersky Italia