I ricercatori ESET analizzano le recenti attività del famigerato gruppo APT: il gruppo Lazarus che manomette il software di sicurezza.
I ricercatori ESET hanno scoperto una campagna del gruppo Lazarus rivolta specificamente agli utenti Internet sudcoreani. Gli aggressori utilizzano un programma dannoso che infetta la catena di fornitura del software con una manipolazione insolita. Per fare ciò, gli hacker utilizzano in modo improprio il legittimo software di sicurezza sudcoreano chiamato WIZVERA VeraPort e i certificati digitali. In Corea del Sud, è prassi comune che quando si visitano siti web governativi o di internet banking, agli utenti venga spesso richiesto di installare software di sicurezza aggiuntivo. I ricercatori ESET hanno ora pubblicato la loro analisi dettagliata su WeliveSecurity.
“WIZVERA VeraPort è una speciale applicazione sudcoreana per installare e gestire software di sicurezza aggiuntivi. Per avviare un'installazione di questo tipo di software è necessaria un'interazione minima da parte dell'utente", spiega Anton Cherepanov, il ricercatore ESET che ha condotto le indagini sull'attacco. “In genere, questo software viene utilizzato dai siti Web governativi e bancari. Per alcuni di questi siti è obbligatorio installare WIZVERA Veraport.”
Certificato di firma del codice illegale
Per diffondere il malware utilizzato, gli aggressori utilizzano certificati di firma del codice ottenuti illegalmente. Questi sono stati originariamente emessi per una filiale statunitense di una società di sicurezza sudcoreana. “Gli aggressori mascherano il malware come software legittimo. I programmi dannosi hanno nomi di file, icone e risorse simili al legittimo software sudcoreano", afferma il ricercatore ESET Peter Kálnai, "È la combinazione di siti Web compromessi con il supporto WIZVERA VeraPort e impostazioni specifiche di VeraPort che consente agli aggressori di eseguire questo attacco".
Lazarus Group è dietro la campagna?
Gli esperti di ESET hanno trovato prove che l'attacco può essere attribuito al gruppo Lazarus. L'attuale campagna è una continuazione di ciò che il CERT della Corea del Sud (KrCERT) ha soprannominato Operazione BookCodes. Anche questa campagna è stata attribuita al gruppo APT.
Altri indizi includono caratteristiche tipiche degli strumenti utilizzati, metodi di crittografia, configurazione dell'infrastruttura di rete e il fatto che l'attacco sia avvenuto in Corea del Sud, dove è noto che Lazarus operi.
Scopri di più su WeLiveSecurity di ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.