Durante la conferenza annuale ESET World, i ricercatori ESET hanno presentato una nuova indagine sul famigerato gruppo APT nordcoreano Lazarus.

Jean-Ian Boutin, Director of Threat Research di ESET, ha esaminato diverse nuove campagne d’attacco perpetrate dal gruppo Lazarus contro aziende nel settore della difesa avvenute in tutto il mondo tra la fine del 2021 e marzo 2022.

Secondo la telemetria ESET, negli attacchi tra il 2021 e il 2022, Lazarus ha preso di mira principalmente aziende in Europa (Francia, Italia, Spagna, Germania, Paesi Bassi, Polonia e Ucraina) e America Latina (Brasile).

Nonostante l’obiettivo principale delle operazioni del gruppo Lazarus fosse lo spionaggio informatico, i cybercriminali hanno anche lavorato per estorcere denaro, operazione che non ha avuto però successo.

“Il gruppo Lazarus ha mostrato ingegnosità nei suoi attacchi, schierando un set di strumenti interessante, tra cui, per esempio, un componente in modalità utente in grado di sfruttare le vulnerabilità di un driver Dell per scrivere nella memoria del kernel. Questo trucco sofisticato è stato utilizzato nel tentativo di aggirare il monitoraggio delle soluzioni di sicurezza”, afferma Jean-Ian Boutin.

Già nel 2020, i ricercatori ESET avevano documentato una campagna condotta da un sottogruppo di Lazarus contro aziende europee del settore aerospaziale e della difesa, operazione denominata da ESET: In(ter)ception.

L’operazione è stata degna di nota in quanto utilizzava i social media, in particolare LinkedIn, per innestare un “meccanismo” di fiducia tra l’aggressore e un dipendente ignaro, prima di inviare alla vittima componenti dannosi mascherati da opportunità di lavoro o candidature. In quel periodo erano già state prese di mira (e poi colpite) aziende in Brasile, Repubblica Ceca, Qatar, Turchia e Ucraina.

I ricercatori ESET ritenevano che l’azione fosse principalmente orientata ad attaccare le società europee, ma monitorando una serie di sottogruppi di Lazarus, che eseguivano campagne simili contro aziende operanti nel settore della difesa, si sono presto resi conto che la campagna era ben più estesa. Nonostante il malware utilizzato nelle varie campagne fosse diverso, il modus operandi iniziale rimaneva sempre lo stesso: un dipendente veniva contattato tramite LinkedIn da un falso reclutatore che inviava un file contenente malware.

Pur continuato con lo stesso modo di operare, i ricercatori ESET hanno anche documentato il riutilizzo di contenuti e caratteristiche di diverse campagne di assunzione effettivamente in corso, per aggiungere legittimità a quelle condotte dai falsi recruiter. Inoltre, per queste campagne illecite, gli aggressori hanno utilizzato servizi come WhatsApp o Slack.

Nel 2021, il Dipartimento di Giustizia degli Stati Uniti ha incriminato tre programmatori IT che lavoravano per l’esercito nordcoreano. Secondo il governo degli Stati Uniti, appartenevano proprio all’unità militari nordcoreana Lazarus Group.