Kaspersky ha reso nota l’indagine su DeathNote, cluster del gruppo Lazarus che nel corso degli anni si è evoluto passando dagli attacchi al settore delle criptovalute a quello dell’IT e della difesa. Partito nel 2019 con attacchi a società globali operanti nel settore delle criptovalute, a fine 2022, era responsabile di campagne mirate che hanno colpito aziende IT e società di difesa in Europa, America Latina, Corea del Sud e Africa. L’ultimo report di Kaspersky traccia un cambiamentonegli obiettivi di DeathNote, nonché lo sviluppo e il perfezionamento di strumenti, tecniche e procedure negli ultimi 4 anni.
La prima volta di DeathNote
Il noto attore delle minacce, Lazarus, ha preso di mira le società che operano nell’ambito delle criptovalute per molto tempo. Monitorandone le attività, Kaspersky ha notato che in un caso ha utilizzato un malware modificato. A metà ottobre 2019, gli esperti si sono infatti imbattuti in un documento sospetto caricato su VirusTotal. L’autore del malware ha utilizzato documenti esca che erano legati al business delle criptovalute. Tra questi un questionario sull’acquisto di criptovalute specifiche, un’introduzione a una particolare criptovaluta e a una società di mining di bitcoin. Questa è stata la prima volta che la campagna DeathNote è entrata in gioco, prendendo di mira individui e aziende coinvolte nelle criptovalute a Cipro, negli Stati Uniti, a Taiwan e a Hong Kong.
Cambia il bersaglio
Tuttavia, nell’aprile 2020 Kaspersky aveva notato un cambiamento significativo nei vettori di infezione di DeathNote. La ricerca ha rivelato che questo cluster è stato sfruttato per colpire le associazioni dei settori automobilistico e accademico dell’Europa orientale legate all’industria della difesa. In questo periodo, l’attore ha cambiato tutti i documenti esca relativi alle descrizioni delle mansioni degli appaltatori del settore difesa e di quelli relativi alla sfera diplomatica. Inoltre, ha perfezionato la sua catena di infezione, utilizzando la tecnica di iniezione di modelli remoti nei documenti incriminati. E ha utilizzato un software di visualizzazione PDF open-source di tipo trojan. Entrambi questi metodi di infezione portano allo stesso malware (DeathNote downloader), responsabile del trasferimento delle informazioni della vittima.
Come si sta evolvendo DeathNote
A maggio 2021, Kaspersky ha osservato che un’azienda IT europea, che fornisce soluzioni per il monitoraggio di dispositivi di rete e server, è stata compromessa da DeathNote. Inoltre, a inizio giugno 2021, questo sottogruppo di Lazarus ha cominciato a utilizzare un nuovo meccanismo per infettare obiettivi in Corea del Sud. Ciò che ha attirato l’attenzione dei ricercatori è che la fase iniziale del malware è stata eseguita da un software legittimo, utilizzato per la sicurezza in Corea del Sud.
Un file PDF modificato
Monitorando DeathNote nel corso del 2022, i ricercatori di Kaspersky hanno scoperto che il cluster è stato responsabile degli attacchi a un fornitore di servizi per la difesa in America Latina. Il vettore di infezione iniziale era simile a quello già visto per altri obiettivi dello stesso settore. Prevedeva infatti l’uso di un lettore PDF di tipo trojan con un file PDF modificato. Tuttavia, in questo caso, l’attore ha adottato una tecnica di side-loading per eseguire il payload finale.
Come agisce DeathNote
Nella campagna in corso, scoperta per la prima volta nel luglio 2022, è stato rivelato che il gruppo Lazarus ha violato con successo un appaltatore della difesa in Africa. L’infezione iniziale era costituita da un’applicazione PDF sospetta, inviata tramite Skype Messenger. Una volta eseguito, il lettore PDF ha creato un file legittimo (CameraSettingsUIHost.exe) e un file dannoso (DUI70.dll) nella stessa directory.
Oltre la crittografia, come si sta evolvendo DeathNote
Seongsu Park, Lead Security Researcher, GReAT di Kaspersky Il gruppo Lazarus è un noto attore di minacce e altamente qualificato. La nostra analisi del cluster DeathNote rivela una rapida evoluzione delle sue tattiche, tecniche e procedure nel corso degli anni. In questa campagna, Lazarus non si limita alle attività legate alla crittografia, ma è andato ben oltre. Utilizza sia un software legittimo che file dannosi per compromettere le società operanti nel settore della difesa. Poiché il gruppo Lazarus continua a perfezionare i suoi approcci, è fondamentale che le organizzazioni prestino attenzione e adottino misure proattive per difendersi.
Come si sta evolvendo DeathNote, cluster del gruppo Lazarus
Per proteggersi da questo tipo di attacchi da parte di attori noti o sconosciuti, i ricercatori di Kaspersky consigliano di:
eseguire un controllo di cybersecurity e monitorare costantemente le reti per correggere eventuali punti deboli o elementi dannosi.
Fornire al proprio personale una formazione di base sulla cybersecurity. Infatti molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering.
Rilevare velocemente gli incidenti
Educare i dipendenti a scaricare software e applicazioni mobile solo da fonti affidabili e app store ufficiali.
Utilizzare un prodotto EDR per consentire il rilevamento tempestivo degli incidenti e la risposta alle minacce avanzate. Ad esempio Kaspersky Managed Detection and Response offre funzionalità di threat hunting contro gli attacchi mirati.
Adottare una soluzione antifrode in grado di proteggere le transazioni in criptovaluta individuando e prevedendo il furto di account, le operazioni non verificate e il riciclaggio di denaro.
