Il cluster DeathNote di Lazarus si evolve. Lo ha reso noto Kaspersky, che ha recentemente indagato su DeathNote, uno dei cluster che appartengono al noto gruppo Lazarus. DeathNote si è profondamente trasformato nel corso degli anni, iniziando nel 2019 con attacchi a società operanti nel settore delle criptovalute in tutto il mondo. Alla fine del 2022, era responsabile di campagne mirate che hanno colpito aziende IT e società di difesa in Europa, America Latina, Corea del Sud e Africa. L’ultimo report di Kaspersky traccia un cambiamento negli obiettivi di DeathNote, nonché lo sviluppo e il perfezionamento di strumenti, tecniche e procedure negli ultimi quattro anni.
Ecco come il cluster DeathNote di Lazarus si evolve
Il noto attore delle minacce, Lazarus, ha preso di mira le società che operano nell’ambito delle criptovalute per molto tempo. Monitorandone le attività, Kaspersky ha notato che in un caso ha utilizzato un malware modificato. A metà ottobre 2019, gli esperti si sono infatti imbattuti in un documento sospetto caricato su VirusTotal, in cui l’autore del malware ha utilizzato documenti esca che erano legati al business delle criptovalute, tra cui un questionario sull’acquisto di criptovalute specifiche, un’introduzione a una particolare criptovaluta e a una società di mining di bitcoin. Questa è stata la prima volta che la campagna DeathNote è entrata in gioco, prendendo di mira individui e aziende coinvolte nelle criptovalute a Cipro, negli Stati Uniti, a Taiwan e a Hong Kong.
Tuttavia, nell’aprile 2020 Kaspersky ha notato un cambiamento significativo nei vettori di infezione di DeathNote. La ricerca ha rivelato che questo cluster è stato sfruttato per colpire le associazioni dei settori automobilistico e accademico dell’Europa orientale legate all’industria della difesa. In questo periodo, l’attore ha cambiato tutti i documenti esca relativi alle descrizioni delle mansioni degli appaltatori del settore della difesa e di quelli relativi alla sfera diplomatica. Inoltre, ha perfezionato la sua catena di infezione, utilizzando la tecnica di iniezione di modelli remoti nei documenti incriminati, e ha utilizzato un software di visualizzazione PDF open-source di tipo trojan. Entrambi questi metodi di infezione portano allo stesso malware (DeathNote downloader), responsabile del trasferimento delle informazioni della vittima.
A maggio 2021, Kaspersky ha osservato che un’azienda IT europea, che fornisce soluzioni per il monitoraggio di dispositivi di rete e server, è stata compromessa dal cluster DeathNote. Inoltre, all’inizio di giugno 2021, questo sottogruppo di Lazarus ha cominciato a utilizzare un nuovo meccanismo per infettare obiettivi in Corea del Sud. Ciò che ha attirato l’attenzione dei ricercatori è che la fase iniziale del malware è stata eseguita da un software legittimo, ampiamente utilizzato per la sicurezza in Corea del Sud.
Monitorando DeathNote nel corso del 2022, i ricercatori di Kaspersky hanno scoperto che il cluster è stato responsabile degli attacchi a un fornitore di servizi per la difesa in America Latina. Il vettore di infezione iniziale era simile a quello già visto per altri obiettivi dello stesso settore e prevedeva l’uso di un lettore PDF di titpo trojan con un file PDF modificato. Tuttavia, in questo caso particolare, l’attore ha adottato una tecnica di side-loading per eseguire il payload finale.
Nella campagna in corso, scoperta per la prima volta nel luglio 2022, è stato rivelato che il gruppo Lazarus ha violato con successo un appaltatore della difesa in Africa. L’infezione iniziale era costituita da un’applicazione PDF sospetta, inviata tramite Skype Messenger. Una volta eseguito, il lettore PDF ha creato un file legittimo (CameraSettingsUIHost.exe) e un file dannoso (DUI70.dll) nella stessa directory.
“Il gruppo Lazarus è un noto attore di minacce e altamente qualificato. La nostra analisi del cluster DeathNote rivela una rapida evoluzione delle sue tattiche, tecniche e procedure nel corso degli anni. In questa campagna, Lazarus non si limita alle attività legate alla crittografia, ma è andato ben oltre. Utilizza sia un software legittimo che file dannosi per compromettere le società operanti nel settore della difesa. Poiché il gruppo Lazarus continua a perfezionare i suoi approcci, è fondamentale che le organizzazioni prestino attenzione e adottino misure proattive per difendersi”, ha commentato Seongsu Park, Lead Security Researcher, GReAT di Kaspersky.
Per proteggersi da questo tipo di attacchi da parte di attori noti o sconosciuti, i ricercatori di Kaspersky consigliano di:
- Eseguire un controllo di cybersecurity e monitorare costantemente le reti per correggere eventuali punti deboli o elementi dannosi scoperti lungo il perimetro o all’interno della rete.
- Fornire al proprio personale una formazione di base sulla cybersecurity, poiché molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering.
- Educare i propri dipendenti a scaricare software e applicazioni mobile solo da fonti affidabili e da app store ufficiali.
- Utilizzare un prodotto EDR per consentire il rilevamento tempestivo degli incidenti e la risposta alle minacce avanzate. Un servizio come Kaspersky Managed Detection and Response offre funzionalità di threat hunting contro gli attacchi mirati.
- Adottare una soluzione antifrode in grado di proteggere le transazioni in criptovaluta individuando e prevedendo il furto di account, le operazioni non verificate e il riciclaggio di denaro.