Il famigerato gruppo Lazarus, finanziato dalla Corea del Nord, ha iniziato ad attaccare server Microsoft Internet Information Services (IIS) vulnerabili. L’obiettivo è ottenere l’accesso iniziale alle reti aziendali e quindi avviare le tradizionali attività di cyberspionaggio.
Attacco in tre fasi
L’attacco effettuato dal gruppo Lazarus prevede tre fasi. L’accesso iniziale ai server IIS viene ottenuto sfruttando vulnerabilità o errate configurazioni che consentono di creare file tramite il processo w3wp.exe. I cybercriminali copiano il file legittimo Wordconv.exe di Microsoft Office, la DLL infetta msvcr100.dll e il file msvcr100.dat nella stessa directory.
Grazie alla nota tecnica DDL side-loading, quando viene lanciato Wordconv.exe la DLL infetta decifra il file msvcr100.dat e lo carica in memoria. Ciò permette di aggirare la rilevazione delle soluzioni di sicurezza.
La seconda fase prevede la copia di un altro malware, nascosto nel file diagn.dll, sfruttando una vulnerabilità del plugin Color Picker di Notepad++. Il malware viene utilizzato per effettuare il dumping della memoria del processo LSASS, quindi lo scopo è rubare le credenziali di login.
Dopo aver scoperto le credenziali, i cybercriminali completano l’attacco con un “movimento laterale”, ovvero l’accesso remoto agli altri computer della rete aziendale tramite la porta 3389 (Remote Desktop Protocol). Non è noto però quali attività vengono eseguite.
Il gruppo Lazarus è uno dei più pericolosi in assoluto, in quanto utilizza varie tecniche per colpire target specifici. Uno degli attacchi più noti è quello effettuato nel 2017 con il ransomware WannaCry.
Ti potrebbe interessare
30 mag 2023