APT Lazarus attacca anche aziende italiane a scopo di lucro

La tradizionale backdoor usata da Lazarus per condurre campagne di spionaggio e sabotaggio è riciclata in alcuni attacchi contro aziende europee.

Business Vulnerabilità

Italia, Germania, Svizzera, Brasile, India, Messico, Arabia Saudita, Turchia e Stati Uniti sono lo scenario di una nuova ondata di attacchi perpetrati da Lazarus. Parliamo del gruppo APT nordcoreano che storicamente è stato ricondotto agli attacchi di cyber spionaggio e sabotaggio contro la Corea del Sud. Evidentemente ha espanso la sua area di azione, dato che i ricercatori di Kaspersky hanno identificato attacchi con la backdoor DTrack nei confronti di società occidentali ed europee, fra cui alcune italiane - una appartenente al settore dei provider di servizi IT.

L’evoluzione di questo gruppo, attivo dal 2009, non riguarda solo l’espansione geografica: nel tempo ha condotto anche campagne ransomware eseguendo anche attacchi a scopo di lucro, come quelli che sembrano l’obiettivo della nuova campagna europea.

DTrack, la backdoor modificata

La backdoor DTrack non è una novità, dato che la sua scoperta risale al 2019 e da allora non ha subito cambiamenti significativi. Si nasconde in un eseguibile che sembra un programma legittimo, e ci sono diverse fasi di decifrazione prima che il payload del malware si attivi. La novità è un terzo livello di crittografia aggiunto.


Analizzando alcuni nuovi campioni di malware, gli esperti di Kaspersky hanno compreso che Lazarus sta utilizzando la backdoor per una serie di attacchi a scopo di lucro. Dtrack viene impiegata per caricare, scaricare, lanciare o eliminare file sull’host della vittima. Uno dei file scaricati ed eseguiti già scoperti come parte del set di strumenti comuni di DTrack è un keylogger, oltre a un creatore di screenshot e a un modulo per raccogliere le informazioni sul sistema della vittima. Nel complesso, questo set di strumenti può aiutare i criminali informatici a effettuare movimenti laterali nell’infrastruttura della vittima, ad esempio per recuperare informazioni.

Le aziende prese di mira sono parti di infrastrutture critiche come l’istruzione, la lavorazione dei prodotti chimici, i centri di ricerca governativi e i ministeri politici, i fornitori di servizi informatici, le utility e le telecomunicazioni.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Previsioni di cybersecurity per il 2023

Speciale

Supply chain security

Speciale

Speciale Mobile e IoT

Speciale

Threat Intelligence

Speciale

Cloud Security

Calendario Tutto

Feb 16
Commvault Connections on the Road | Milano
Mar 22
IDC Future of Work
Giu 08
MSP DAY 2023 - 8/9 Giugno

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter