▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Anche gli APT sbagliano: l’errore che ha permesso di intercettare Lazarus

Un attaccante ha commesso un errore durante un attacco permettendo agli esperti di security di attribuire la responsabilità dell’incidente all’APT nord coreano Lazarus.

Tecnologie/Scenari

Gli attacchi portati avanti dagli stati nazionali sono quasi sempre contraddistinti dalla discrezionalità e dalla capacità di restare silenti per anni. Non è il caso di un incidente legato al gruppo nord coreano Lazarus, che è stato scoperto per un “errore di sicurezza operativa” commesso da uno degli attaccanti. Il dettaglio emerge da una ricerca di WithSecure, la costola business di F-Secure, in relazione a una campagna mirata contro organizzazioni di ricerca medica e aziende energetiche.

Per chi non lo conoscesse, Lazarus è un gruppo APT da tempo ritenuto colluso con il Foreign Intelligence and Reconnaissance Bureau della Corea del Nord. Da anni conduce attacchi ai danni di strutture e aziende della Corea del Sud e in generale l’estremo oriente. Di recente, tuttavia, Kaspersky ha rilevato attacchi anche nei confronti di società occidentali ed europee, fra cui alcune italiane.

Identificare le campagne di Lazarus non è mai semplice, ma a questo giro è stato un errore degli attaccanti a consentire di tracciarne le mosse. Tutto è iniziato con un sospetto attacco ransomware ai danni di un'organizzazione protetta dalla piattaforma di sicurezza cloud-native WithSecure Elements. Mentre conducevano le indagini, gli esperti di WithSecure hanno scoperto le prove che l'attacco faceva parte di una più ampia campagna di raccolta di informazioni. Non si trattava quindi di un incidente ransomware, ma di un’attività di spionaggio.


Gli obiettivi della campagna che è stato possibile identificare comprendevano un'organizzazione di ricerca sanitaria, un produttore di tecnologie utilizzate nei settori dell'energia, della ricerca, della difesa e della sanità, nonché il dipartimento di ingegneria chimica di un'importante università di ricerca. Sono state le tattiche, tecniche e procedure a consentire l’attribuzione, perché quelle impiegate nell’attacco sotto indagine erano le stesse utilizzate in precedenti attacchi da parte del gruppo e di altri aggressori associati alla Corea del Nord. Un colpo di fortuna, perché i ricercatori stessi sottolineano che è davvero insolito riuscire a collegare una campagna con tanta certezza a un autore. Soprattutto quando si tratta di un’attività APT.

Le indagini hanno inoltre consentito di scoprire nuovi elementi su Lazarus, come l'uso di nuove infrastrutture e l'utilizzo esclusivo di indirizzi IP senza nomi di dominio. Il gruppo ha inoltre sfruttato una versione modificata del noto malware Dtrack, utilizzato in attacchi precedenti da Lazarus Group e da un altro gruppo nord coreano noto come Kimsuky. I ricercatori hanno inoltre rilevato una nuova versione del malware GREASE che consente agli attaccanti di creare nuovi account di amministratore con privilegi di protocollo desktop remoto, aggirando i firewall.

Non meno importante è la scoperta che gli attaccanti hanno utilizzato per breve tempo uno dei meno di mille indirizzi IP appartenenti alla Corea del Nord. È questo l’errore chiave che ha agevolato le indagini: i ricercatori hanno potuto osservare l'indirizzo IP mentre si connetteva a una webshell controllata dagli aggressori, quasi certamente un errore manuale commesso da un membro del gruppo, che è costato lo smascheramento delle attività in corso.

I ricercatori di WithSecure sottolineano che comunque, nonostante il passo falso, gli attaccanti hanno dimostrato una buona tecnica e sono comunque riusciti a condurre azioni ponderate su endpoint accuratamente selezionati. Ecco perché gli esperti esortano a non abbassare mai la guardia e ad analizzare ogni caso con estrema attenzione. Nel documento completo della ricerca sono indicati tutti gli IoC e i dettagli tecnici.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able
Lug 23
Ready Informatica Training Tecnico Avanzato | Parallels RAS
Lug 23
Webinar - Selezione del personale: Un caso pratico HR con DocuWare

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1