Il gruppo APT Lazarus attacca gli appaltatori della difesa

23. Marzo 2021
| Non ci sono commenti
Kaspersky_news

Condividi post

Il gruppo APT Lazarus prende di mira le aziende della Difesa. Il malware "ThreatNeedle" attacca anche le reti riservate senza accesso a Internet.

I ricercatori di Kaspersky hanno identificato una nuova campagna precedentemente sconosciuta dell'attore di minacce avanzate Lazarus. Dall'inizio del 2020, ha preso di mira le aziende del settore della difesa con la backdoor personalizzata "ThreatNeedle". La backdoor si sposta lateralmente attraverso le reti infette e raccoglie informazioni sensibili. Lazarus può rubare dati sia dall'IT che dalle reti limitate.

Gruppo Lazarus attivo dal 2009

Lazarus è un prolifico attore di minacce attivo almeno dal 2009. Il gruppo è noto per le campagne di spionaggio informatico e ransomware su larga scala, nonché per gli attacchi al mercato delle criptovalute. Gli attuali attacchi sono stati identificati anche in relazione al Covid-19 e alla ricerca sui vaccini. Mentre Lazarus si è concentrato sulle istituzioni finanziarie negli anni precedenti, dall'inizio del 2020 l'industria della difesa sembra essere stata al centro delle attività.

L'incidente backdoor espone ThreatNeedle

I ricercatori di Kaspersky sono venuti a conoscenza di questa nuova campagna quando sono stati chiamati a supportare una risposta agli incidenti. Dopo l'analisi, è emerso chiaramente che l'organizzazione era caduta vittima di una backdoor personalizzata, un tipo di malware che consente il controllo remoto completo del dispositivo. Soprannominata ThreatNeedle, questa backdoor si sposta lateralmente attraverso le reti infette ed estrae informazioni sensibili. Finora, le organizzazioni in più di una dozzina di paesi sono state colpite. Kaspersky ha scoperto numerosi host provenienti da Europa, Nord America, Medio Oriente e Asia che si erano collegati all'infrastruttura dell'aggressore.

Schema e approccio all'infezione di ThreatNeedle

L'infezione iniziale si verifica tramite e-mail di spear phishing che contengono un allegato Word dannoso o un collegamento a uno ospitato sui server aziendali. Le e-mail, spesso camuffate da aggiornamenti urgenti relativi alla pandemia di coronavirus, provenivano presumibilmente da un centro medico rispettabile.

Se il documento dannoso viene aperto, il malware viene eseguito e passa alla fase successiva del processo di consegna. Il malware ThreatNeedle utilizzato appartiene alla famiglia di malware 'Manuscrypt', attribuita al gruppo Lazarus e precedentemente utilizzata in attacchi contro società di criptovalute. Una volta installato, ThreatNeedle acquisisce il pieno controllo del dispositivo della vittima, dalla modifica dei file all'esecuzione dei comandi ricevuti.

Furto di dati dalle reti IT dell'ufficio

Utilizzando ThreatNeedle, Lazarus può rubare dati sia dalle reti IT dell'ufficio (una rete di computer con accesso a Internet) che da una rete ristretta di un impianto o struttura (una rete di risorse business-critical e computer con dati e database altamente sensibili senza accesso a Internet) . Secondo le politiche delle aziende attaccate, nessuna informazione può essere trasmessa tra queste due reti. Tuttavia, gli amministratori possono connettersi a entrambe le reti per la manutenzione del sistema. Lazarus è stato in grado di assumere il controllo delle workstation dell'amministratore e impostare un gateway dannoso per attaccare la rete riservata e rubare ed estrarre dati sensibili da lì.

Ulteriori informazioni sul canale ICS di Kaspersky.com

 

A proposito di Kaspersky

Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/

 

Articoli relativi all'argomento

Rapporto: 40% di phishing in più in tutto il mondo

L’attuale rapporto su spam e phishing di Kaspersky per il 2023 parla da solo: gli utenti in Germania sono alla ricerca ➡ Leggi di più

BSI stabilisce gli standard minimi per i browser web

La BSI ha rivisto lo standard minimo per i browser web per l'amministrazione e ha pubblicato la versione 3.0. Puoi ricordartelo ➡ Leggi di più

Il malware invisibile prende di mira le aziende europee

Gli hacker stanno attaccando molte aziende in tutta Europa con malware invisibili. I ricercatori ESET hanno segnalato un drammatico aumento dei cosiddetti attacchi AceCryptor tramite ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Test: software di sicurezza per endpoint e singoli PC

Gli ultimi risultati dei test del laboratorio AV-TEST mostrano ottime prestazioni di 16 soluzioni di protezione affermate per Windows ➡ Leggi di più

FBI: Internet Crime Report conta 12,5 miliardi di dollari di danni 

L'Internet Crime Complaint Center (IC3) dell'FBI ha pubblicato il suo Internet Crime Report 2023, che include informazioni provenienti da oltre 880.000 persone ➡ Leggi di più

HeadCrab 2.0 scoperto

La campagna HeadCrab contro i server Redis, attiva dal 2021, continua a infettare con successo gli obiettivi con la nuova versione. Il miniblog dei criminali ➡ Leggi di più

Kaspersky, Brevi notizie
, , , ,