Il gruppo APT (Advanced Persistent Threat) nordcoreano Lazarus utilizza il malware DTrack come risorsa fondamentale delle sue operazioni contro un’ampia varietà di obiettivi. Recentemente, è stato scoperto che utilizza una nuova variante modificata della backdoor per attaccare le organizzazioni in Europa, compresa l’Italia dove sono state colpite importanti società tra cui anche una che fornisce servizi IT.
Un netto cambio di strategia per una cyber gang che fin dalle proprie origini è stata mossa sempre da fini geopolitici e ora sembra invece mirare più ad attacchi con scopi estorsivi che garantiscono una maggiore redditività.
Indice degli argomenti
Il gruppo APT Lazarus attacca le aziende in Italia
Secondo i ricercatori di Kaspersky, l’ultima variante di DTrack non presenta molte modifiche funzionali o di codice rispetto ai campioni analizzati in passato. In questa campagna, DTrack si nasconde all’interno di file eseguibili dall’aspetto legittimo, come NvContainer.exe, che è lo stesso di un file NVIDIA legittimo. Tuttavia, l’ultima variante utilizza l’hashing API per caricare librerie e funzioni appropriate.
Inoltre, il numero di server C2 è stato ridotto a soli tre. Il resto della funzionalità del payload è lo stesso delle varianti precedenti.
“Permette ai criminali informatici di caricare, scaricare, lanciare o eliminare file sull’host della vittima”, sottolineano gli esperti di Kaspersky: “la novità è un terzo livello di crittografia aggiunto in alcuni nuovi campioni di malware”.
Inoltre, estende il proprio campo d’azione, allargando i confini anche a società italiane, tra cui una appartenente al settore dei provider di servizi IT.
La catena infettiva della backdoor DTrack
Ci sono diverse fasi di decrittazione prima che inizi il payload del malware:
- Nella prima fase, DTrack utilizza la sua funzione di recupero.
- La seconda fase è archiviata all’interno del file PE del malware e consiste in shellcode fortemente offuscato, diversi metodi di crittografia e versioni modificate degli algoritmi RC4, RC5 e RC6.
- Il payload della terza fase può essere quello finale (una DLL) che viene decrittografato e caricato tramite il processo explorer.exe oppure (a seconda dell’implementazione) può contenere ulteriormente un altro pezzo di dati binari costituito da una configurazione binaria e almeno uno shellcode che, a sua volta, decifra ed esegue il payload finale.
Obiettivi di attacco
DTrack continua a essere installato violando le reti utilizzando credenziali rubate o sfruttando i server esposti a Internet; tuttavia, ora viene distribuito in modo molto più ampio. In particolare, si rivolge a organizzazioni in Germania, Brasile, India, Italia, Messico, Svizzera, Arabia Saudita, Turchia e Stati Uniti nelle sue operazioni più estese.
Per quanto riguarda i target presi di mira, DTrack si rivolge a settori importanti per ottenere guadagni finanziari che includono centri di ricerca governativi, istituti politici, produttori di prodotti chimici, fornitori di servizi IT, fornitori di telecomunicazioni, fornitori di servizi di pubblica utilità e istruzione. “L’analisi di Kaspersky mostra che Lazarus utilizza la backdoor per una serie di attacchi a scopo di lucro”, prosegue il report degli analisti.
“DTrack continua a essere utilizzato attivamente da Lazarus. Le modifiche apportate al modo in cui il malware viene configurato dimostrano che Lazarus attribuisce ancora un valore elevato a DTrack. Nonostante questo, non è cambiato molto dal 2019, quando è stato scoperto per la prima volta. Tuttavia, l’analisi della tipologia delle vittime mostra che le operazioni si sono estese all’Europa, una tendenza che vediamo sempre più spesso”, ha dichiarato Jornt van der Wiel, Security Expert del Global Research & Analysis Team (GReAT) di Kaspersky.
Nel corso degli anni Lazarus ha lanciato numerose campagne incentrate su interruzione di servizi, sabotaggio, furto finanziario e spionaggio. Dal 2019 utilizza DTrack in diversi attacchi e può anche facilitare il movimento laterale all’interno delle reti delle vittime. Un importante gruppo di cyber spionaggio come Lazarus può fare molti più danni con DTrack.
I ricercatori consigliano alle organizzazioni di utilizzare soluzioni di sicurezza multilivello (aggiornando costantemente IoC rinvenienti dai report di analisi) per ottenere protezione in tempo reale contro questo genere di attacchi mirati.
