Almeno sei organizzazioni in Corea del Sud sono state prese di mira dal prolifico gruppo Lazarus, legato alla Corea del Nord, in una campagna denominata Operazione SyncHole. Secondo un rapporto pubblicato oggi da Kaspersky, l’attività ha colpito i settori del software, IT, finanziario, della produzione di semiconduttori e delle telecomunicazioni in Corea del Sud. La prima evidenza di compromissione è stata rilevata a novembre 2024.
La campagna ha coinvolto una “combinazione sofisticata di una strategia di watering hole e sfruttamento delle vulnerabilità all’interno del software sudcoreano”, hanno affermato i ricercatori di sicurezza Sojun Ryu e Vasily Berdnikov. “Una vulnerabilità di un giorno in Innorix Agent è stata utilizzata anche per il movimento laterale”.
Gli attacchi hanno aperto la strada a varianti di strumenti noti del gruppo Lazarus come ThreatNeedle, AGAMEMNON, wAgent, SIGNBT e COPPERHEDGE. Ciò che rende queste intrusioni particolarmente efficaci è la probabile sfruttamento di una vulnerabilità di sicurezza in Cross EX, un software legittimo diffuso in Corea del Sud per abilitare l’uso di software di sicurezza nel banking online e nei siti governativi per supportare la protezione anti-keylogging e le firme digitali basate su certificati.
“Il gruppo Lazarus dimostra una forte comprensione di queste specificità e sta utilizzando una strategia mirata alla Corea del Sud che combina vulnerabilità in tali software con attacchi di watering hole”, ha affermato il fornitore di cybersecurity russo.
Lo sfruttamento di un difetto di sicurezza in Innorix Agent per il movimento laterale è notevole per il fatto che un approccio simile è stato adottato in passato anche dal sottogruppo Andariel del gruppo Lazarus per distribuire malware come Volgmer e Andardoor.
Il punto di partenza dell’ultima ondata di attacchi è un attacco di watering hole, che ha attivato il dispiegamento di ThreatNeedle dopo che i bersagli hanno visitato vari siti di media online sudcoreani. I visitatori che atterrano sui siti vengono filtrati utilizzando uno script lato server prima di essere reindirizzati a un dominio controllato dall’avversario per servire il malware.
“Valutiamo con fiducia media che il sito reindirizzato possa aver eseguito uno script dannoso, prendendo di mira un potenziale difetto in Cross EX installato sul PC bersaglio e lanciando malware”, hanno detto i ricercatori. “Lo script ha quindi eseguito infine il legittimo SyncHost.exe e iniettato un shellcode che ha caricato una variante di ThreatNeedle in quel processo”.
La sequenza di infezione è stata osservata adottare due fasi, utilizzando ThreatNeedle e wAgent nelle fasi iniziali e poi SIGNBT e COPPERHEDGE per stabilire la persistenza, condurre ricognizioni e distribuire strumenti di dumping delle credenziali sugli host compromessi.
Sono stati inoltre distribuiti famiglie di malware come LPEClient per il profiling delle vittime e la consegna dei payload, e un downloader denominato Agamemnon per scaricare ed eseguire payload aggiuntivi ricevuti dal server di comando e controllo (C2), incorporando contemporaneamente la tecnica Hell’s Gate per bypassare le soluzioni di sicurezza durante l’esecuzione.
Fonte: The Hackers News
