Il famigerato attore APT Lazarus sta espandendo i suoi attacchi e ora prende di mira aziende in Europa, tra cui Germania e Svizzera. Gli esperti di Kaspersky sono stati in grado di identificare attacchi con la backdoor DTrack a due aziende tedesche di lavorazione e produzione di prodotti chimici e uno a un'azienda svizzera di trasformazione di prodotti chimici.
Lazarus è attivo almeno dal 2009 ed è stato accusato di spionaggio informatico, sabotaggio informatico e attacchi ransomware. Inizialmente, il gruppo si è concentrato sull'attuazione di quella che sembrava essere un'agenda geopolitica incentrata principalmente sulla Corea del Sud. Tuttavia, si è spostata verso obiettivi globali e ha anche iniziato a lanciare attacchi a scopo di lucro.
Gli attacchi sono attualmente rivolti anche alle aziende in Europa. Gli esperti di Kaspersky sono stati in grado di identificare due attacchi in Germania in cui DTrack è stato utilizzato come backdoor: uno contro un'azienda di trasformazione chimica e uno nel settore manifatturiero. Inoltre, potrebbe essere identificato un attacco a un'azienda svizzera di trasformazione chimica.
DTrack backdoor modificato
La backdoor DTrack è stata originariamente scoperta nel 2019 [3] e non è cambiata in modo significativo nel tempo. DTrack si nasconde in un file eseguibile che sembra un programma legittimo. Ci sono diverse fasi di decrittazione prima che inizi il payload del malware. La novità è un ulteriore terzo livello di crittografia che è stato aggiunto in alcuni dei nuovi campioni di malware.
L'analisi di Kaspersky mostra che Lazarus utilizza la backdoor per una varietà di attacchi finalizzati a guadagni finanziari. Consente ai criminali informatici di caricare, scaricare, avviare o eliminare file sull'host della vittima. Uno dei file scaricati ed eseguiti, che è già stato individuato come parte del consueto set di strumenti di DTrack, è un keylogger, nonché un creatore di screenshot e un modulo per la raccolta delle informazioni di sistema della vittima. Nel complesso, un tale set di strumenti può aiutare i criminali informatici a compiere movimenti laterali nell'infrastruttura delle vittime, ad esempio per recuperare informazioni.
Targeting per KRITIS, scuole, ricerca
Secondo la telemetria KSN, DTrack è attivo in Germania, Brasile, India, Italia, Messico, Svizzera, Arabia Saudita, Turchia e Stati Uniti. Lazzaro allarga così la cerchia delle sue vittime. Le aziende prese di mira includono parti di infrastrutture critiche come istituti scolastici, aziende di trasformazione chimica, centri di ricerca governativi e dipartimenti governativi, fornitori di servizi IT, servizi pubblici e telecomunicazioni.
"DTrack è ancora utilizzato attivamente da Lazarus", spiega Jornt van der Wiel, ricercatore di sicurezza nel Global Research and Analysis Team (GReAT) di Kaspersky. “Le modifiche apportate al modo in cui il malware è impacchettato mostrano che Lazarus attribuisce ancora un valore elevato a DTrack. Tuttavia, Lazarus non è cambiato molto al riguardo dal 2019, quando è stato originariamente scoperto. Tuttavia, l'analisi della vittimologia mostra che le operazioni sono state estese all'Europa, una tendenza che stiamo osservando con maggiore frequenza".
Altro su Kasperky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/