
Dall’inizio del 2020 il gruppo Lazarus ha preso di mira il settore della difesa (aziende e organizzazioni governative) con una backdoor personalizzata e soprannominata ThreatNeedle. La backdoor esegue movimenti laterali attraverso le reti infette sottraendo informazioni sensibili riuscendo a bypassare anche la segmentazione IT/ OT tramite computer di amministratori di sistema.
Lazarus Group
Lazarus è un gruppo di attacco NordCoreano attivo dal 2009 (Fonte MITRE ATT&CK) responsabile di una serie di campagne malevole e che per questo motivo è seguito da molto tempo dai ricercatori e analisti di sicurezza. Questo gruppo è stato coinvolto in campagne di cyberspionaggio su larga scala, campagne ransomware e persino attacchi contro il mercato delle criptovalute. Alcune delle loro campagne in ordine di tempo (settembre 2020) sono state a tema COVID verso le aziende farmaceutiche e almeno una entità governativa. Sebbene per ogni attacco avessero utilizzato tattiche, tecniche e procedure (TTP) diverse, sono state trovate connessioni tra i due casi e prove che collegano quegli attacchi al famigerato gruppo Lazarus. L’ultima campagna in ordine di tempo riguarda un cluster di malware noto come Manuscrypt (anche come NukeSped) mentre il sample specifico è proprio ThreatNeedle. Ad oggi, sono state colpite organizzazioni in più di dodici Paesi.
La campagna contro il settore della Difesa
I ricercatori di Kaspersky si sono resi conto dell’esistenza di questa nuova campagna nel momento in cui sono stati coinvolti in un’attività di incident response. Il team preposto alla gestione dell’incidente ha scoperto che l’organizzazione coinvolta era vittima di una backdoor personalizzata (ovvero un malware che consente il controllo da remoto completo sul dispositivo).
La kill chain di attacco è tipica di una APT. Il gruppo ha utilizzato i temi COVID-19 nelle sue e-mail di spear phishing, abbellendole con informazioni personali raccolte utilizzando fonti disponibili pubblicamente. Le organizzazioni prese di mira ricevono una e-mail contenente un allegato Word dannoso o un collegamento ad un file ospitato sui server aziendali. I messaggi di posta, inviati da presunti centri medici affidabili, dichiarano di contenere aggiornamenti urgenti relativi alla pandemia e presentano un allegato in Microsoft Word. Ma almeno una delle e-mail di spear phishing a cui si fa riferimento nel rapporto è scritta in russo, mentre un altro messaggio è arrivato con un file allegato dannoso denominato “Boeing_AERO_GS.docx”, che potrebbe indicare un obiettivo statunitense. Nel momento in cui si apre il documento il malware viene rilasciato dando così il via al processo di distribuzione.
Il malware ThreatNeedle è in grado di ottenere il pieno controllo del dispositivo della vittima, il che significa che può fare qualsiasi cosa, dalla manipolazione dei file all’esecuzione dei comandi ricevuti. Dopo la prima violazione che fornisce un punto d’appoggio iniziale, gli aggressori raccolgono le credenziali e si spostano lateralmente, cercando risorse cruciali nell’ambiente della vittima. Un elemento tecnico interessante risiede nel superamento della a segmentazione della rete ottenendo l’accesso a un router interno e configurandolo come server proxy, consentendo loro di esfiltrare i dati rubati dalla rete intranet al loro server remoto. Infatti, il gruppo ha sviluppato la capacità del gruppo di rubare dati sia dalle reti IT dell’ufficio, ovvero una rete che contiene computer con accesso a Internet, sia dalla rete limitata di un impianto, ovvero una rete che contiene mission-critical asset e computer con dati altamente sensibili e nessun accesso a Internet. Secondo la policy aziendale, nessuna informazione dovrebbe poter essere trasferita tra queste due reti. Ma gli amministratori possono connettersi a entrambe le reti per la gestione di questi sistemi. Lazarus è stato in grado di ottenere il controllo delle workstation degli amministratori per poi impostare un gateway malevolo e attaccare la rete limitata estraendo dati riservati.
Seongsu Park, senior security researcher with the Global Research and Analysis Team (GReAT) ha indicato come il Threat Analysis Team di Google abbia riferito che Lazarus aveva utilizzato questa stessa backdoor per colpire i ricercatori di sicurezza. Invece Vyacheslav Kopeytsev, security expert di Kaspersky ICS CERT ha specificato la sofisticazione nello spear phishing per colpire gli amministratori: “Questo gruppo, infatti, oltre a superare la segmentazione della rete, ha anche condotto ricerche approfondite per creare e-mail di spear phishing altamente personalizzate ed efficaci e ha costruito strumenti personalizzati per estrarre le informazioni rubate su un server remoto. Tenuto conto che molti settori e aziende fanno ancora molto affidamento al lavoro a distanza e che, quindi, sono ancora più vulnerabili, è importante che vengano prese ulteriori precauzioni di sicurezza per proteggersi da questo genere di attacchi avanzati”.
Lo studio dettagliato sulla campagna ThreatNeedle e la lista degli IOC sono disponibili sul sito sito web di Kaspersky ICS CERT.
Come proteggere asset e sistemi
I consigli di prevenzione risiedono in accorgimenti organizzativi, formativi e di dotazioni tecnologiche che insieme permettano di rendere piu’ difficile l’ingresso dell’infezione. In particolare secondo i ricercatori è necessario prevedere:
- Formazione di base sulla cyber hygiene (Cyber awareness e antiphishing), poiché molti attacchi mirati iniziano proprio con tecniche di ingegneria sociale come il phishing.
- Segregazione IT/OT: sSe un’azienda utilizza una tecnologia operativa (OT) o ha una infrastruttura critica, è importante assicurarsi che queste siano separate dalla rete aziendale o che non ci siano connessioni non autorizzate.
- Conoscenza delle policy: assicurarsi che i dipendenti conoscano e seguano le politiche di sicurezza informatica.
- Accessi di threat intelligence (TI) al team SOC.
- Implementazione di una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete
- Implementazione di una soluzione dedicata ai nodi e alle reti industriali che consenta il monitoraggio del traffico di rete OT, l’analisi e il rilevamento delle minacce.