Le attività dannose del gruppo Lazarus APT minacciano la sicurezza delle organizzazioni e dei privati, richiedendo misure di sicurezza rigorose e proattive.
La Corea del Nord è di nuovo sotto i riflettori con il gruppo Lazarus APT, un noto attore delle minacce sponsorizzato dallo stato, che ha scatenato una serie di attacchi mirati ai server Web Windows Internet Information Service (IIS). Secondo fonti di sicurezza di alto livello, il gruppo Lazarus utilizza una tecnica di attacco chiamata “watering hole” (abbeveratoio in italiano) per ottenere l’accesso iniziale, compromettendo siti Web coreani e distribuendo malware attraverso vulnerabilità note di INISAFE CrossWeb EX V6.
Gli esperti di sicurezza hanno rivelato che Lazarus APT sfrutta una vulnerabilità di INISAFE CrossWeb EX V6 per installare il malware “SCSKAppLink.dll” sui sistemi degli utenti che visitano i siti web compromessi. Questo malware funge da downloader e recupera ulteriori ceppi di malware da fonti esterne, permettendo agli aggressori di prendere il controllo completo dei sistemi colpiti.
Ulteriori indagini hanno rivelato che per aumentare i privilegi e facilitare ulteriori attività dannose, il gruppo Lazarus sta distribuendo il malware JuicyPotato. Questo particolare malware è noto per essere un software progettato con protezioni da analisi e rilevamento. L’infiltrazione dei sistemi con il malware JuicyPotato aumenta significativamente il potenziale danno che il gruppo Lazarus può causare.
Recentemente, il gruppo Lazarus APT ha guadagnato notorietà per una serie di violazioni di sicurezza importanti. Nell’ultimo mese, hanno attaccato JumpCloud, costringendo l’azienda a reimpostare le chiavi API dei suoi clienti e a prendere misure precauzionali per proteggere i sistemi degli utenti. Inoltre, il gruppo è stato collegato all’attacco di Atomic Wallet, un incidente che ha portato al furto di oltre 35 milioni di dollari in criptovaluta. A ciò si aggiunge la scoperta di un nuovo malware macOS chiamato RustBucket, presumibilmente utilizzato da un sottoinsieme di Lazarus chiamato BlueNoroff.
Le organizzazioni e gli individui sono stati messi in allarme dalla crescente minaccia rappresentata dal gruppo Lazarus APT. Esperti di sicurezza consigliano vivamente di adottare misure rigorose per proteggere i server Web Windows IIS, inclusa una gestione attenta della superficie di attacco e l’applicazione costante delle patch di sicurezza più recenti. La sicurezza proattiva è diventata essenziale per mitigare i rischi posti da tali attori delle minacce finanziati dallo stato.
Il governo della Corea del Sud ha rilasciato una dichiarazione ufficiale in cui esorta le organizzazioni a prendere sul serio queste minacce e a collaborare strettamente con le autorità di sicurezza informatica per identificare e contrastare gli attacchi informatici in corso.
In conclusione, il gruppo Lazarus APT sta dimostrando di essere una minaccia persistente e pericolosa per la sicurezza digitale. La comunità globale deve unire le forze per affrontare questa sfida, adottando una mentalità di sicurezza proattiva e implementando strategie avanzate di protezione dei dati.
