Il Lazarus Group, noto attore di minacce collegato alla Corea del Nord, è stato recentemente attribuito a una sofisticata campagna di ingegneria sociale che ha distribuito tre diversi pezzi di malware multipiattaforma: PondRAT, ThemeForestRAT e RemotePE. Questa operazione, osservata da Fox-IT di NCC Group nel 2024, ha preso di mira un’organizzazione nel settore della finanza decentralizzata (DeFi), compromettendo infine il sistema di un dipendente.
Strategie di attacco e strumenti utilizzati
L’attacco inizia con il Lazarus Group che si fa passare per un dipendente di una società di trading su Telegram, utilizzando siti web falsi mascherati come Calendly e Picktime per fissare un incontro con la vittima. Sebbene l’esatto vettore di accesso iniziale non sia noto, il punto di appoggio viene sfruttato per distribuire un caricatore chiamato PerfhLoader, che poi rilascia PondRAT. Questo malware è valutato come una variante ridotta di POOLRAT (aka SIMPLESEA).
Con PondRAT vengono forniti anche una serie di altri strumenti, tra cui uno screenshotter, un keylogger, credenziali di Chrome e un furatore di cookie, Mimikatz, FRPC e programmi proxy come MidProxy e Proxy Mini. PondRAT è un semplice RAT che consente a un operatore di leggere e scrivere file, avviare processi ed eseguire shellcode, ed è stato utilizzato in combinazione con ThemeForestRAT per circa tre mesi, prima di passare a un RAT più sofisticato chiamato RemotePE.
Fasi dell’attacco e tecniche di evasione
Dopo aver compromesso il sistema di un dipendente, l’attore ha eseguito la scoperta dall’interno della rete utilizzando diversi RAT in combinazione con altri strumenti per raccogliere credenziali o connessioni proxy. Successivamente, l’attore si è spostato su un RAT più furtivo, probabilmente indicando una nuova fase dell’attacco. La società di sicurezza informatica ha indicato che ci sono alcune prove che suggeriscono l’uso di un exploit di zero-day nel browser Chrome durante l’attacco.
Considerazioni finali
Questa campagna del Lazarus Group evidenzia l’evoluzione delle minacce informatiche e la crescente sofisticazione delle tecniche di attacco. L’uso di ingegneria sociale e malware multipiattaforma dimostra quanto sia cruciale per le organizzazioni, specialmente nel settore della finanza decentralizzata, adottare misure di sicurezza avanzate e rimanere vigili contro potenziali compromessi. La capacità di adattarsi e rispondere rapidamente a tali minacce è essenziale per proteggere le risorse digitali e mantenere la fiducia degli utenti.
Fonte: The Hackers News Per saperne di più
