Kaspersky avverte: Lazarus prende di mira il settore della difesa

Tratto da BitMAT
Autore: Redazione BitMAT – 26/02/2021
 
 
 
 

I ricercatori di Kaspersky hanno identificato una nuova campagna APT a opera di Lazarus, un threat actor di minacce avanzate molto prolifico che risulta attivo almeno dal 2009 e al quale sono state attribuite una serie di campagne diverse tra loro.

A partire dai primi mesi del 2020, il gruppo ha preso di mira il settore della difesa con una backdoor personalizzata e soprannominata ThreatNeedle. La backdoor esegue movimenti laterali attraverso le reti infette sottraendo informazioni sensibili.

Lazarus è uno dei threat actor più prolifici del momento. Attivo almeno dal 2009, questo gruppo è stato coinvolto in campagne di cyberspionaggio su larga scala, campagne ransomware e persino attacchi contro il mercato delle criptovalute. Negli ultimi anni il gruppo si è concentrato sulle istituzioni finanziarie ma all’inizio del 2020 ha aggiunto ai suoi obiettivi anche organizzazioni che operano nel settore della difesa.

Silente, Lazarus, si espande a macchia d’olio

I ricercatori di Kaspersky si sono resi conto dell’esistenza di questa nuova campagna nel momento in cui sono stati coinvolti in un’attività di incident response. Il team preposto alla gestione dell’incidente ha scoperto che l’organizzazione coinvolta era vittima di una backdoor personalizzata (ovvero un malware che consente il controllo da remoto completo sul dispositivo). Soprannominata ThreatNeedle, questa backdoor si muove lateralmente attraverso le reti infette ed estrae informazioni riservate.

A oggi, sono state colpite organizzazioni in più di dodici Paesi.

L’infezione iniziale avviene utilizzando una tecnica di spear phishing. Le organizzazioni prese di mira ricevono una e-mail contente un allegato Word dannoso o un collegamento ad un file ospitato sui server aziendali. I messaggi di posta, inviati da presunti centri medici affidabili, dichiarano di contenere aggiornamenti urgenti relativi alla pandemia.

Nel momento in cui si apre il documento il malware viene rilasciato dando così il via al processo di distribuzione. Il malware ThreatNeedle, utilizzato in questa campagna, appartiene a una famiglia di malware del gruppo Lazarus nota come Manuscrypt ed era stato precedentemente rilevato in attacchi rivolti alle imprese di criptovaluta. Una volta installato, ThreatNeedle è in grado di ottenere il pieno controllo del dispositivo della vittima, il che significa che può fare qualsiasi cosa, dalla manipolazione dei file all’esecuzione dei comandi ricevuti.

Una delle tecniche più interessanti di questa campagna è la capacità del gruppo di rubare dati sia dalle reti IT dell’ufficio (ovvero una rete che contiene computer con accesso a Internet) e sia dalla rete limitata di un impianto (ovvero una rete che contiene mission-critical asset e computer con dati altamente sensibili e nessun accesso a Internet). Secondo la policy aziendale, nessuna informazione dovrebbe poter essere trasferita tra queste due reti. Tuttavia, gli amministratori possono connettersi a entrambe le reti per la gestione di questi sistemi. Lazarus è stato in grado di ottenere il controllo delle workstation degli amministratori per poi impostare un gateway malevolo e attaccare la rete limitata estraendo dati riservati.

Lazarus non è solo molto prolifico, ma anche sofisticato

Come sottolineato in una nota ufficiale da Seongsu Park, senior security researcher with the Global Research and Analysis Team (GReAT): «Lazarus è stato forse il threat actor più attivo del 2020 e questo è un trend che non accenna a diminuire. Infatti, già a gennaio di quest’anno, il Threat Analysis Team di Google ha riferito che Lazarus aveva utilizzato questa stessa backdoor per colpire i ricercatori di sicurezza. In futuro, ci aspettiamo di incontrare ancora ThreatNeedle e per questo terremo gli occhi aperti».

Come aggiunto da Vyacheslav Kopeytsev, security expert di Kaspersky ICS CERT: «Lazarus non è solo molto prolifico, ma anche sofisticato. Questo gruppo, infatti, oltre a superare la segmentazione della rete, ha anche condotto ricerche approfondite per creare e-mail di spear phishing altamente personalizzate ed efficaci e ha costruito strumenti personalizzati per estrarre le informazioni rubate su un server remoto. Tenuto conto che molti settori e aziende fanno ancora molto affidamento al lavoro a distanza e che, quindi, sono ancora più vulnerabili, è importante che vengano prese ulteriori precauzioni di sicurezza per proteggersi da questo genere di attacchi avanzati».

Per proteggersi da attacchi come ThreatNeedle, gli esperti di Kaspersky raccomandano di:

  • Fornire al personale una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano proprio con tecniche di ingegneria sociale come il phishing.
  • Se un’azienda utilizza una tecnologia operativa (OT) o ha una infrastruttura critica, è importante assicurarsi che queste siano separate dalla rete aziendale o che non ci siano connessioni non autorizzate.
  • Assicurarsi che i dipendenti conoscano e seguano le politiche di sicurezza informatica.
  • Fornire al team SOC l’accesso alla più recente threat intelligence (TI). Il Kaspersky Threat Intelligence Portal è un punto di accesso unico per la TI dell’azienda, che fornisce dati sugli attacchi informatici e approfondimenti raccolti da Kaspersky in oltre 20 anni di esperienza.
  • Implementare una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
  • Implementare una soluzione dedicata ai nodi e alle reti industriali che consenta il monitoraggio del traffico di rete OT, l’analisi e il rilevamento delle minacce, come Kaspersky Industrial CyberSecurity.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

4 Marzo 2021

Kaspersky rileva somiglianze di codice tra Kazuar e Sunburst

 

Tratto da LineaEDP
Autore: Redazione LineaEDP – 12/01/2021
 

Gli esperti di Kaspersky hanno rilevato numerose somiglianze di codice tra Sunburst e le versioni note della backdoor Kazuar

 

 

Il 13 dicembre 2020, FireEye, Microsoft e SolarWinds hanno annunciato la scoperta di un sofisticato attacco su larga scala alla supply chain per il quale è stato implementato “Sunburst”, un malware precedentemente sconosciuto che ha preso di mira i clienti della piattaforma IT Orion di SolarWinds.

Gli esperti di Kaspersky hanno rilevato numerose somiglianze di codice tra Sunburst e le versioni note della backdoor Kazuar, una tipologia di malware che fornisce l’accesso remoto al dispositivo preso di mira. Queste nuove informazioni hanno fornito ai ricercatori elementi utili per proseguire le indagini sull’attacco.

L’analisi della backdoor Sunburst ha permesso agli esperti di Kaspersky di rilevare una serie di caratteristiche simili a quelle della già nota Kazuar, una backdoor scritta utilizzando il framework .NET, individuata per la prima volta da Palo Alto nel 2017 ed utilizzata in attacchi di spionaggio informatico in tutto il mondo.

 

Kazuar e Sunburst: c’è relazione, ma è ancora da chiarire

Le numerose analogie nel codice suggeriscono che ci sia una relazione, di natura ancora indeterminata, tra Kazuar e Sunburst. Le caratteristiche comuni tra Sunburst e Kazuar comprendono l’algoritmo di generazione UID della vittima, l’algoritmo usato per calcolare i tempi di “sleep” e l’uso estensivo dell’algoritmo di “hashing” FNV-1a. Secondo quanto osservato dai ricercatori, i frammenti di codice non sarebbero del tutto identici pertanto, Kazuar e Sunburst, potrebbero essere collegati ma resta ancora da chiarire la natura di questa relazione.

Dopo la prima comparsa del malware Sunburst nel febbraio 2020, Kazuar ha continuato a evolversi. Le sue successive varianti, osservate a partire dal 2020, sono per certi versi ancora più simili a Sunburst.

Nel complesso, durante gli anni dell’evoluzione di Kazuar, gli esperti hanno osservato un continuo sviluppo, in cui sono state aggiunte caratteristiche significative che assomigliano a Sunburst. Tuttavia, le evidenti analogie tra i due malware potrebbero dipendere da diverse ragioni. Ad esempio, Sunburst potrebbe essere stato sviluppato dallo stesso gruppo che ha ideato Kazuar o i suoi sviluppatori potrebbero essersi ispirati a quest’ultimo. O ancora, uno sviluppatore di Kazuar potrebbe essersi unito al team di Sunburst o entrambi i gruppi avrebbero ottenuto il loro malware dalla stessa fonte.

Come sottolineato in una nota ufficiale da Costin Raiu, direttore del Global Research and Analysis Team di Kaspersky: «Il legame riscontrato tra i due malware, sebbene non permetta di stabilire con certezza chi sia l’autore dell’attacco a SolarWinds, fornisce ai ricercatori degli indizi utili all’indagine. Riteniamo importante che altri esperti di tutto il mondo analizzino queste somiglianze per raccogliere nuove informazioni su Kazuar e sull’origine di Sunburst, il malware utilizzato per la violazione di SolarWinds. Guardando, ad esempio, all’attacco Wannacry, erano stati riscontrati pochissimi elementi riconducibili al gruppo Lazarus. Con il tempo, sono state raccolte ulteriori prove che hanno permesso a noi e ad altri ricercatori di trovare questo legame. Continuare a indagare è fondamentale per scoprire questo tipo di collegamenti».

 

Protezione in sole due mosse

Per proteggersi da malware simili alla backdoor che ha preso di mira SolarWinds, Kaspersky raccomanda di: 

  • Fornire al SOC team l’accesso alla più recente threat intelligence (TI). Kaspersky Threat Intelligence Portal consente di accedere alla TI dell’azienda e fornisce dati sui cyber-attacchi e approfondimenti raccolti da Kaspersky in oltre 20 anni di esperienza nel settore.
  • Le organizzazioni che desiderano condurre le proprie indagini possono usufruire di Kaspersky Threat Attribution Engine, che confronta il codice dannoso scoperto con i database di malware e, basandosi sulle somiglianze di codice, lo attribuisce alle campagne APT già note.

 

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

12 Gennaio 2021