Il noto gruppo di criminali informatici legato alla Corea del Nord, noto come il Gruppo Lazarus, è stato legato a una nuova campagna globale che coinvolge lo sfruttamento opportunistico delle vulnerabilità di sicurezza in Log4j per distribuire trojan di accesso remoto (RAT) precedentemente non documentati su host compromessi.
Cisco Talos sta monitorando l’attività con il nome di Operazione Blacksmith, notando l’uso di tre famiglie di malware basate su DLang, tra cui un RAT chiamato NineRAT che sfrutta Telegram per il comando e controllo (C2), DLRAT e un downloader chiamato BottomLoader.
Come ha agito questa volta il Gruppo Lazarus
La società di sicurezza informatica ha descritto le ultime tattiche del Gruppo Lazarus come un cambiamento definitivo che si sovrappone al cluster ampiamente tracciato come Andariel (aka Onyx Sleet o Silent Chollima), un sottogruppo all’interno dell’ombrello Lazarus.
“Andariel è generalmente incaricato dell’accesso iniziale, della ricognizione e dell’instaurazione di un accesso a lungo termine per lo spionaggio a sostegno degli interessi nazionali del governo nordcoreano“, hanno dichiarato i ricercatori di Talos Jung soo An, Asheer Malhotra e Vitor Ventura in un rapporto tecnico.
Le catene di attacco coinvolgono lo sfruttamento di CVE-2021-44228 (noto anche come Log4Shell) contro server VMWare Horizon accessibili pubblicamente per consegnare NineRAT; alcuni dei settori più colpiti includono manifatturiero, agricoltura e sicurezza fisica.
L’abuso di Log4Shell non sorprende, dato che il 2,8% delle applicazioni utilizza ancora versioni vulnerabili della libreria (da 2.0-beta9 a 2.15.0) dopo due anni dalla divulgazione pubblica, secondo Veracode, con un altro 3,8% che utilizza Log4j 2.17.0, che, sebbene non sia vulnerabile a CVE-2021-44228, è suscettibile a CVE-2021-44832.
NineRAT, sviluppato per la prima volta intorno a maggio 2022, sembra che sia stato utilizzato già a marzo 2023 in un attacco mirato a un’organizzazione agricola sudamericana e poi di nuovo a settembre 2023 su un’entità manifatturiera europea; utilizzando un servizio di messaggistica legittimo come Telegram per le comunicazioni C2, l’obiettivo è evitare il rilevamento.
Il malware messo in giro dal Gruppo Lazarus agisce come il principale mezzo di interazione con l’endpoint infetto, consentendo agli attaccanti di inviare comandi per raccogliere informazioni di sistema, caricare file di interesse, scaricare file aggiuntivi e persino disinstallare e aggiornarsi.
“Una volta attivato NineRAT accetta comandi preliminari dal canale C2 basato su Telegram, per rifare l’identificazione delle impronte digitali dei sistemi infetti“, hanno notato i ricercatori.
Utilizzato anche negli attacchi dopo la ricognizione iniziale, c’è uno strumento proxy personalizzato chiamato HazyLoad precedentemente identificato da Microsoft come utilizzato dal gruppo hacker nordocroeano come parte di intrusioni che sfruttano vulnerabilità critiche in JetBrains TeamCity (CVE-2023-42793, punteggio CVSS: 9.8); HazyLoad viene scaricato ed eseguito attraverso un altro malware chiamato BottomLoader.
Inoltre, si è visto che l’Operazione Blacksmith distribuisce anche DLRAT, che è sia un downloader che un RAT in grado di effettuare la ricognizione di sistema, distribuire malware aggiuntivi e recuperare comandi dal C2 ed eseguirli nei sistemi compromessi.
“I molteplici strumenti che offrono una porta d’accesso sovrapposta forniscono al Gruppo Lazarus delle ridondanze nel caso in cui uno strumento venga scoperto, consentendo un accesso altamente persistente“, hanno dichiarato i ricercatori.
Lo sfruttamento di Log4Shell da parte di Andariel non è nuovo, poiché il gruppo di hacker ha utilizzato la vulnerabilità come vettore di accesso iniziale in passato per consegnare un trojan di accesso remoto chiamato EarlyRat.
La divulgazione avviene mentre il Centro di risposta alle emergenze di sicurezza di AhnLab (ASEC) ha dettagliato l’uso da parte di Kimsuky delle versioni di malware AutoIt come Amadey e RftRAT e la loro distribuzione tramite attacchi di spear-phishing con allegati e collegamenti insidiosi nel tentativo di eludere i prodotti di sicurezza.
Kimsuky, un gruppo noto anche con i nomi APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (precedentemente Thallium), Nickel Kimball e Velvet Chollima, è un elemento che opera sotto il Reconnaissance General Bureau (RGB) della Corea del Nord, che ospita anche il Gruppo Lazarus.
È stato sanzionato dal Dipartimento del Tesoro degli Stati Uniti il 30 novembre 2023, per la raccolta di informazioni a sostegno degli obiettivi strategici del regime.
“Dopo aver preso il controllo del sistema infetto, per esfiltrare informazioni, il gruppo Kimsuky installa vari malware come keylogger e strumenti per estrarre account e cookie dai browser web“, ha dichiarato ASEC in un’analisi pubblicata la scorsa settimana.