Lazarus usa software open source per gli attacchi

Lazarus usa software open source per gli attacchi

Microsoft ha scoperto che il gruppo Lazarus sfrutta software open source, tra cui PuTTY e TightVNC, per distribuire i malware della famiglia ZetaNile.
Lazarus usa software open source per gli attacchi
Microsoft ha scoperto che il gruppo Lazarus sfrutta software open source, tra cui PuTTY e TightVNC, per distribuire i malware della famiglia ZetaNile.

Da qualche giorno, il gruppo Lazarus è nuovamente protagonista di vari attacchi contro aziende e singoli utenti. Il Microsoft Threat Intelligence Center (MSTIC) ha scoperto che i cybercriminali nordcoreani sfruttano versioni modificate di popolari software open source per colpire numerosi target. I malware usati durante le ultime campagne vengono rilevati da Defender Antivirus e dalle altre soluzioni di sicurezza.

Lazarus usa PuTTY, KiTTY e TightVNC

Lo spear phishing è la tattica principale usata da Lazarus per convincere i dipendenti aziendali ad aprire gli allegati infetti inviati via email. L’obiettivo è ottenere l’accesso alla rete per rubare informazioni riservate (cyberspionaggio). I ricercatori di Microsoft hanno scoperto versioni modificate di cinque software open source usati per distribuire i malware della famiglia ZetaNile.

Le versioni infette di PuTTY e KiTTY, due noti client SSH, sono state nascoste in archivi ZIP o immagini ISO. PuTTY viene usato da molti anni per installare il malware EventHorizon e creare un’attività pianificata per mantenere la persistenza. L’uso di KiTTY, fork di PuTTY, è più recente, ma il risultato finale è identico. Entrambi possono scaricare altri malware dopo aver effettuato la connessione al server remoto controllato dai cybercriminali.

Da settembre 2022 viene sfruttata una versione “trojanized” di TightVNC, popolare tool di controllo remoto. La backdoor viene installata quando l’utente sceglie uno degli host elencati nel viewer. ZetaNile può essere installato anche tramite versioni infette di Sumatra PDF e dell’installer di muPDF/Subliminal Recording. Entrambi i software sono distribuiti con file ZIP.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 3 ott 2022
Link copiato negli appunti