Gli hacker di Lazarus prendono di mira le organizzazioni di criptovaluta con false offerte di lavoro

26 Agosto 2020 - Tempo di lettura: 10 minuti

Gli hacker nordcoreani monitorati come il gruppo Lazarus sono stati osservati mentre utilizzavano le esche di LinkedIn in una campagna di spear phishing in corso mirata al verticale di criptovaluta negli Stati Uniti, nel Regno Unito, in Germania, Singapore, Paesi Bassi, Giappone e altri paesi.

Non è la prima volta che gli hacker di Lazarus (rintracciati anche come HIDDEN COBRA dalla United States Intelligence Community e Zinc da Microsoft) prendono di mira organizzazioni di criptovaluta.

Esperti del Consiglio di sicurezza delle Nazioni Unite (ONU) affermano che i nordcoreani erano dietro i furti di criptovaluta che hanno portato a perdite di 571 milioni di dollari tra il 2017 e il 2018, con il Tesoro degli Stati Uniti che ha successivamente sanzionato tre gruppi di hacking sponsorizzati dalla RPDC e finanziariamente motivati  (Lazarus, Andarial e Bluenoroff).

Un rapporto dell'esercito americano del mese scorso stima che il numero totale di hacker della Corea del Nord sia di oltre 6.000, molti dei quali operanti da altri paesi tra cui Russia, Cina e India.

All'inizio di quest'anno, a marzo, due cittadini cinesi sono stati accusati dagli Stati Uniti di riciclaggio di criptovaluta per un valore di oltre $ 100 milioni sui circa $ 250 milioni rubati dal Gruppo Lazarus nel 2018 come parte di un singolo hack di scambio di criptovaluta.

LinkedIn phishing mirato all'amministratore del sistema della società di criptovaluta

Oggi, i ricercatori di sicurezza di F-Secure Labs hanno affermato di aver attribuito al gruppo Lazarus un attacco di phishing mirato a un'organizzazione nel settore verticale delle criptovalute.

Ciò è stato possibile a causa dei segni dell'attività di Lazarus scoperti da F-Secure nonostante gli evidenti sforzi degli attori delle minacce per rimuovere qualsiasi accenno ai loro attacchi, inclusa la disabilitazione delle soluzioni anti-malware e la rimozione dei loro impianti dannosi dai dispositivi compromessi.

"Su tutti tranne un singolo host, che è stato spento a metà dell'intrusione e quindi irraggiungibile, Lazarus Group è stato in grado di eliminare in modo sicuro le tracce di qualsiasi malware utilizzato, nonché quantità significative di prove forensi", hanno scoperto i ricercatori. 

F-Secure è stata in grado di attribuire l'attacco basato sugli impianti dannosi lasciati sui sistemi infetti e raccolti dai ricercatori dopo l'operazione Lazarus (identici agli strumenti utilizzati in precedenza dal gruppo) e Tactics, Techniques & Procedures (TTP) utilizzati nel Nord Le prime operazioni degli hacker coreani.

"Sulla base di artefatti di phishing recuperati dall'attacco di Lazarus Group, i ricercatori di F-Secure sono stati in grado di collegare l'incidente a una campagna più ampia e in corso che è in corso almeno dal gennaio 2018", ha detto F-Secure oggi.

"[S] artefatti simili sono stati utilizzati in campagne in almeno 14 paesi: Stati Uniti, Cina, Regno Unito, Canada, Germania, Russia, Corea del Sud, Argentina, Singapore, Hong Kong, Paesi Bassi, Estonia, Giappone e le Filippine."

Campagna di phishing in corso

Gli hacker hanno utilizzato un documento Word pericoloso mascherato da file protetto dal Regolamento generale sulla protezione dei dati (GDPR) che richiedeva all'obiettivo di consentire al contenuto di accedere al resto delle informazioni.

Tuttavia, dopo aver abilitato il contenuto, il documento ha eseguito un codice macro incorporato dannoso che si connetteva a un collegamento bit.ly (a cui si accedeva dozzine di volte dall'inizio di maggio 2019 da più paesi) e ha distribuito i payload finali del malware dopo aver prima raccolto ed esfiltrato le informazioni di sistema agli aggressori. server di comando e controllo.

Questi impianti dannosi presentano diverse funzionalità che consentono agli hacker di Lazarus di "scaricare file aggiuntivi, decomprimere i dati in memoria, avviare comunicazioni C2, eseguire comandi arbitrari e rubare credenziali da numerose fonti".

Lazarus Group è stato osservato anche da F-Secure mentre disabilitava Credential Guard sui dispositivi infetti per acquisire le credenziali dalla memoria utilizzando lo strumento di post-exploitation Mimikatz open source.

"Le attività di Lazarus Group sono una minaccia continua: la campagna di phishing associata a questo attacco è stata osservata continuare nel 2020, aumentando la necessità di consapevolezza e vigilanza continua tra le organizzazioni che operano nei verticali mirati", concludono i ricercatori.

"È la valutazione di F-Secure che il gruppo continuerà a prendere di mira le organizzazioni all'interno del verticale delle criptovalute mentre rimane una ricerca così redditizia, ma potrebbe anche espandersi per indirizzare gli elementi della catena di fornitura del verticale per aumentare i rendimenti e la longevità della campagna".