Il Lazarus Group è stato osservato mentre organizzava una nuovo attacco che utilizza il servizio Windows Update per eseguire il playload infetto, ampliando l’arsenale di tecniche di living-off-the-land (Lotl) tecniche sfruttate dal gruppo APT per promuovere i suoi obiettivi.

Il Lazarus Group, noto anche come APT38, Hidden Cobra, Whois Hacking Team e Zinc, è il nome assegnato al gruppo di hacking dello stato della Corea del Nord che è attivo almeno dal 2009. L’anno scorso, il gruppo hacker era collegato ad un’elaborata campagna di ingegneria sociale rivolta ai ricercatori della sicurezza.

Gli ultimi attacchi di spear-phishing, che Malwarebytes ha rilevato il 18 gennaio, provengono da documenti contenenti job-themed per impersonare la sicurezza globale americana e società aerospaziale Lockheed Martin. Aprendo il file Microsoft Word modificato si attiva l’esecuzione di una macro dannosa iche, a sua volta, esegue uno shellcode decodificato Base64 per iniettare un certo numero di componenti malware nel processo “explorer.exe”. Nella fase successiva, una delle librerie caricate, “drops_lnk.dll,” sfrutta il client di aggiornamento di Windows (“wuauclt.exe”) – che viene utilizzato come cavallo di Troia per rendere legittime attività dannose con il software Windows legittimo per eseguire un comando che carica un secondo modulo chiamato “wuaueng.dll.”

“Questa è una tecnica interessante utilizzata da Lazarus per eseguire la sua DLL dannosa utilizzando il client di aggiornamento di Windows per bypassare meccanismi di sicurezza,” ricercatori Ankur Saini e Hossein Jazi hanno notato. “Con questo metodo, il malware può eseguire il codice attraverso il client di aggiornamento di Microsoft Windows.”

L’azienda di sicurezza informatica ha sentenziato che “wuaueng.dll” e una delle DLL più importanti nella catena di attacco,” il cui scopo principale è quello di stabilire comunicazioni con un server di comando e controllo (C2) – un repository Github che ospita moduli dannosi mascherati da file immagine PNG. L’account Github è stato creato il 17 gennaio 2022. Malwarebytes ha detto che i collegamenti a Lazarus Group si basano su diversi elementi di prova che li legano agli attacchi passati da parte dello stesso gruppo, comprese le sovrapposizioni di infrastrutture, metadati di documenti, e l’uso del modello di job-themed per individuare le sue vittime.

“Lazarus APT è uno dei gruppi APT avanzati che è noto per colpire l’industria della difesa”, hanno concluso i ricercatori. “Il gruppo continua ad aggiornare il proprio set di strumenti per eludere i meccanismi di sicurezza. Anche se hanno usato il loro vecchio metodo job-themed , hanno impiegato diverse nuove tecniche per bypassare i controlli.”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

error: Content is protected !!