Gli attaccanti nordcoreani si fanno notare con un errore di sicurezza operativa

Comunicato stampa  |  9 febbraio 2023

I ricercatori di WithSecure™ collegano la campagna di raccolta di informazioni che ha preso di mira organizzazioni di ricerca medica ed aziende energetiche al Lazarus Group della Corea del Nord.

Milano, Italia – 9 febbraio 2023: Grazie anche a un errore di sicurezza operativa da parte di un attaccante, i ricercatori di sicurezza di WithSecure™ (precedentemente nota come F-Secure Business) hanno collegato una campagna di attacco informatico al noto Lazarus Group della Corea del Nord.

Lazarus Group è un gruppo APT (advanced persistent threat) che si ritiene faccia parte del Foreign Intelligence and Reconnaissance Bureau della Corea del Nord. I ricercatori hanno scoperto l'ultima campagna di tali attaccanti dopo che è stato rilevato un sospetto attacco ransomware in un'organizzazione protetta dalla piattaforma di sicurezza cloud-native WithSecure™ Elements.

Dopo aver indagato sull'attacco, i ricercatori di WithSecure™ hanno scoperto ulteriori prove che indicano che l'attacco faceva parte di una più ampia campagna di raccolta di informazioni piuttosto che di un incidente ransomware.

Sulla base delle prove raccolte, i ricercatori sono stati in grado di collegare la campagna al Lazarus Group, che prendeva di mira organizzazioni di ricerca medica ed aziende energetiche con l'intento di commettere spionaggio.

Gli obiettivi specifici della campagna identificati dai ricercatori comprendevano un'organizzazione di ricerca sanitaria, un produttore di tecnologie utilizzate nei settori dell'energia, della ricerca, della difesa e della sanità, nonché il dipartimento di ingegneria chimica di un'importante università di ricerca.

“Inizialmente i sospetti riconducevano ad un tentativo di attacco ransomware BianLian, ma le prove raccolte hanno rapidamente indicato una direzione diversa. E man mano che raccoglievamo altre prove, acquisivamo sempre più certezza che l'attacco fosse condotto da un gruppo collegato al governo nordcoreano, portandoci infine a concludere con sicurezza che si trattasse del Lazarus Group,” afferma Sani Ruohonen, Senior Threat Intelligence Researcher di WithSecure™.

“Nel corso delle nostre indagini abbiamo scoperto che si trattava di una campagna più ampia, con un target allargato, e non di un semplice incidente isolato, ed è davvero insolito riuscire a collegare una campagna in modo così forte a un autore come siamo riusciti a fare in questo caso,” aggiunge Stephen Robinson, Senior Threat Intelligence Analyst di WithSecure™.

I ricercatori di WithSecure™ sono stati in grado di collegare la campagna a Lazarus Group in base all'uso di tattiche, tecniche e procedure utilizzate in precedenti attacchi da parte del gruppo e di altri aggressori associati alla Corea del Nord.

I ricercatori hanno rilevato diversi sviluppi degni di nota in questa campagna rispetto alle precedenti attività del Gruppo Lazarus, tra cui:

  • L'uso di nuove infrastrutture, tra cui l'utilizzo esclusivo di indirizzi IP senza nomi di dominio (in deroga agli attacchi precedenti).
  • Una versione modificata del malware per il furto di informazioni Dtrack, utilizzato da Lazarus Group e Kimsuky (un altro gruppo associato alla Corea del Nord) in attacchi precedenti.
  • Una nuova versione del malware GREASE che consente agli attaccanti di creare nuovi account di amministratore con privilegi di protocollo desktop remoto, aggirando i firewall.

Un elemento di rilievo scoperto dai ricercatori è che gli attaccanti hanno utilizzato per breve tempo uno dei meno di mille indirizzi IP appartenenti alla Corea del Nord. L'indirizzo IP è stato osservato mentre si connetteva a una webshell controllata dagli aggressori per un breve periodo, il che ha indotto i ricercatori a sospettare che si trattasse di un errore manuale commesso da un membro del gruppo.

Tuttavia, errori come questo non devono essere interpretati dai difensori come un motivo per abbassare la guardia, secondo Tim West, Head of Threat Intelligence di WithSecure™.

“Nonostante gli errori di opsec, l'attore ha dimostrato una buona tecnica ed è riuscito a eseguire azioni ponderate su endpoint accuratamente selezionati. Anche con tecnologie accurate di rilevamento degli endpoint, le organizzazioni devono considerare continuamente come rispondere agli avvisi e integrare informazioni mirate sulle minacce con ricerche regolari per fornire una migliore difesa in profondità, in particolare contro avversari capaci e abili,” conclude.

La ricerca completa è disponibile al seguente link https://labs.withsecure.com/publications/no-pineapple-dprk-targeting-of-medical-research-and-technology-sector.

Informazioni su WithSecure™

WithSecure™, precedentemente F-Secure Business, è il partner di riferimento per la cyber security. Provider di servizi IT, MSSP e aziende, insieme alle più importanti istituzioni finanziarie, imprese manifatturiere e migliaia di fornitori dei più avanzati sistemi di comunicazione e tecnologie nel mondo si affidano a noi per conseguire una cyber security basata sui risultati, che protegge e consente le loro operazioni.

La nostra protezione guidata dall’IA mette al sicuro gli endpoint e la collaborazione su cloud, il nostro sistema di intelligent detection and response è alimentato da esperti che identificano i rischi aziendali tramite threat hunting proattivo e affrontando gli attacchi in tempo reale. I nostri consulenti collaborano con imprese e tech challenger per costruire la resilienza attraverso una consulenza sulla sicurezza basata su prove concrete. Con oltre 30 anni di esperienza nella creazione di tecnologie che soddisfano gli obiettivi aziendali, abbiamo disegnato il nostro portafoglio per crescere con i nostri partner attraverso modelli commerciali flessibili.

Fondata nel 1988, WithSecure™ Corporation è quotata sul listino NASDAQ OMX Helsinki Ltd.