ESET: Lazarus attacca attraverso Linkedin e WhatsApp

Rilevati attacchi contro aziende del settore della difesa in tutto il mondo tra la fine del 2021 e marzo 2022.

autenticazione a due fattori lazarus

ESET ha rilevato che il gruppo APT Lazarus ora attacca le aziende del settore aerospaziale e della difesa in tutto il mondo con l’uso improprio di Linkedin e WhatsApp. Jean-Ian Boutin, Director di ESET Threat Research ha analizzato diverse nuove campagne di Lazarus tra la fine del 2021 e il marzo 2022. Negli attacchi del 2021-2022, secondo la telemetria di ESET, Lazarus ha preso di mira aziende in Europa e in America Latina. Nonostante l’obiettivo principale di questa operazione fosse lo spionaggio informatico, il gruppo ha anche tentato senza successo di esfiltrare.

Indagine sul pericoloso gruppo APT Lazarus

ESETJean-Ian Boutin, Director di ESET Threat Research
Il gruppo Lazarus ha dato prova di ingegno distribuendo un interessante set di strumenti.

Tra cui ad esempio un componente in modalità utente in grado di sfruttare un driver Dell vulnerabile per scrivere nella memoria del kernel. Questo trucco è stato utilizzato nel tentativo di aggirare il monitoraggio delle soluzioni di sicurezza.

Operazione In(ter)ception

Già nel 2020, i ricercatori di ESET avevano documentato una campagna condotta da un sottogruppo di Lazarus contro aziende europee del settore aerospaziale e della difesa, denominando l’operazione In(ter)ception. Essa era significativa perché utilizzava i social media, in particolare LinkedIn, per creare un rapporto di fiducia tra l’aggressore e un dipendente ignaro. QUesto prima di inviargli componenti dannosi mascherati da documenti di lavoro o candidature. All’epoca erano già state colpite aziende in Brasile, Repubblica Ceca, Qatar, Turchia e Ucraina.

Obiettivo principale: le aziende europee

I ricercatori di ESET ritenevano che l’azione fosse principalmente orientata ad attaccare le aziende europee. Seguendo una serie di sottogruppi di Lazarus che eseguivano campagne simili contro aziende operanti nel settore della difesa, si sono presto resi conto che la campagna era molto più estesa. Sebbene il malware utilizzato nelle varie campagne fosse diverso, il modus operandi iniziale rimaneva sempre lo stesso. Un falso reclutatore contattava un dipendente attraverso LinkedIn e alla fine inviava componenti dannosi.

Linkedin e WhatsApp, il loro ruolo inconsapevole nell’indagine sull’APT Lazarus

Pur rimanendo invariato il modo di operare,  i ricercatori di ESET hanno anche documentato il riutilizzo di elementi di campagne di assunzione legittime. Così da aggiungere credibilità a quelle condotte dai falsi recruiter. Per queste attività, gli aggressori hanno anche sfruttato servizi come WhatsApp o Slack. Nel 2021, il Dipartimento di Giustizia degli Stati Uniti ha incriminato con l’accusa di cyberattacchi tre programmatori in forza all’esercito nordcoreano. Secondo il governo, appartenevano all’unità di hacker militari nordcoreani nota nella comunità infosec come Lazarus Group.

La cyber war e la guerra tra Russia e Ucraina

ESETOltre alla nuova ricerca su Lazarus, ESET, durante la conferenza annuale, ha presentato “Past and Present Cyberwar in Ukraine“.

Robert Lipovský, ricercatore di ESET, ha analizzato in modo approfondito la cyber war collegata al conflitto tra Russia e Ucraina.

Incluso l’ultimo tentativo di compromettere la rete elettrica del Paese utilizzando Industroyer2 e vari attacchi wiper.