Il gruppo nordcoreano Lazarus utilizza malware avanzato nelle truffe di lavoro
Summary:
Il gruppo nordcoreano Lazarus sta implementando un malware più avanzato, soprannominato LightlessCan, nelle loro false truffe di lavoro, rendendo il rilevamento significativamente più impegnativo. Individuato per la prima volta in un attacco a un'azienda aerospaziale spagnola, il carico utile aggiornato ha caratteristiche innovative che migliorano la sua furtività e lo proteggono dalla decrittazione involontaria da parte degli analisti della sicurezza. Gli hacker in genere adescano le vittime con false offerte di lavoro redditizie e le inducono a scaricare un payload dannoso. Dal 2016, gli hacker nordcoreani hanno rubato circa 3,5 miliardi di dollari da progetti di criptovaluta.
La coorte di hacker nordcoreani, Lazarus Group, ha impiegato malware avanzati nelle loro cosiddette truffe sul lavoro, ponendo una sfida più grande per il rilevamento rispetto alla sua precedente iterazione. Il 29 settembre, Peter Kálnai, un investigatore senior di malware presso ESET, ha dettagliato la sua analisi di una recente truffa di reclutamento finto mirata a una società aerospaziale spagnola, in cui è stata identificata una backdoor precedentemente non registrata denominata LightlessCan.
Il MO per la frode di reclutamento del Gruppo Lazarus di solito comporta l'adescamento delle vittime con un'opportunità di lavoro potenzialmente redditizia presso un'azienda rispettabile. Gli ignari candidati vengono quindi indotti a scaricare un carico utile dannoso mascherato da documenti, che poi devasta i loro sistemi. Tuttavia, Kálnai ha sottolineato che il nuovo carico utile LightlessCan rappresenta un "importante aggiornamento" rispetto alla sua controparte precedente, BlindingCan.
LightlessCan imita vari comandi nativi di Windows, facilitando l'esecuzione furtiva all'interno del RAT, al contrario delle cospicue esecuzioni da console. "Questo metodo offre un notevole vantaggio in termini di evasività, aiutando a evitare soluzioni di sorveglianza in tempo reale come gli EDR e a contrastare gli strumenti forensi digitali post-incidente", ha commentato.
Il payload aggiornato incorpora anche ciò che Kálnai definisce "guardrail di esecuzione", garantendo che il carico utile possa essere decodificato solo sul sistema della vittima predestinata, aggirando così la decrittazione involontaria da parte degli analisti della sicurezza. Il nuovo malware è stato individuato per la prima volta in un attacco a una società aerospaziale spagnola, dove a un dipendente è stato inviato un messaggio da un reclutatore fittizio di Meta, Steve Dawson, nel 2022. Gli hacker hanno rapidamente inviato un paio di semplici sfide di codifica legate al malware.
Lo spionaggio informatico è stato l'impulso principale per l'assalto di Lazarus Group all'azienda spagnola, ha aggiunto Kálnai. I rapporti stimano che gli hacker nordcoreani abbiano rubato circa $ 3,5 miliardi da progetti di criptovaluta dal 2016, come riportato dalla società forense blockchain Chainalysis il 14 settembre. L'anno precedente, la società di sicurezza informatica SentinelOne ha segnalato una truffa di lavoro su LinkedIn, in cui alle vittime venivano offerti posti di lavoro a Crypto.com, nell'ambito di un'operazione chiamata "Dream Job".
Nel frattempo, le Nazioni Unite stanno compiendo sforzi concertati per frenare le attività criminali informatiche della Corea del Nord sulla scena globale, data la consapevolezza che la Corea del Nord sta deviando i fondi illeciti per sostenere la sua iniziativa missilistica nucleare.
Published At
10/2/2023 3:04:57 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.