Il gruppo Lazarus, legato alla Corea del Nord, è stato osservato mentre sfruttava le falle di un software non rivelato per violare un'entità finanziaria della Corea del Sud per due volte nell'arco di un anno.
Mentre il primo attacco, avvenuto nel maggio 2022, ha comportato l'utilizzo di una versione vulnerabile di un software di certificazione ampiamente utilizzato da istituzioni pubbliche e università, la reinfiltrazione, avvenuta nell'ottobre 2022, ha comportato lo sfruttamento di uno zero-day nello stesso programma.
La società di sicurezza informatica AhnLab Security Emergency Response Center (ASEC) ha dichiarato di non voler divulgare ulteriori dettagli perché "la vulnerabilità non è stata ancora verificata completamente e non è stata rilasciata una patch per il software".
Il collettivo di avversari, dopo aver ottenuto un punto d'appoggio iniziale con un metodo sconosciuto, ha abusato del bug zero-day per eseguire un movimento laterale, poco dopo il quale il motore anti-malware AhnLab V3 è stato disabilitato tramite un attacco BYOVD.
Vale la pena notare che la tecnica del Bring Your Own Vulnerable Driver, detta anche BYOVD, è stata utilizzata ripetutamente dal Lazarus Group negli ultimi mesi, come documentato sia da ESET che da AhnLab in una serie di rapporti alla fine dello scorso anno.
Tra le altre misure adottate per nascondere il comportamento dannoso, vi sono la modifica dei nomi dei file prima di eliminarli e la modifica dei timestamp utilizzando una tecnica anti-forense nota come timestomping.
L'attacco ha infine aperto la strada a diversi payload backdoor (Keys.dat e Settings.vwx) che sono progettati per connettersi a un server di comando e controllo (C2) remoto e recuperare ulteriori file binari ed eseguirli in modo senza file.
Questo sviluppo arriva una settimana dopo che ESET ha fatto luce su un nuovo impianto chiamato WinorDLL64, distribuito dal noto attore di minacce tramite un caricatore di malware chiamato Wslink.
"Il gruppo Lazarus sta ricercando le vulnerabilità di vari altri software e sta cambiando costantemente le proprie TTP, modificando il modo in cui disabilita i prodotti di sicurezza ed esegue tecniche anti-forensi per interferire o ritardare il rilevamento e l'analisi al fine di infiltrarsi nelle istituzioni e nelle aziende coreane", ha dichiarato ASEC.
Trovi questo articolo interessante?
Seguici anche sulle nostre pagine social e su Linkedin per non perdere i nostri nuovi post.