Il famigerato gruppo di cybercriminali, attivo da oltre 10 anni e finanziato dalla Corea del Nord (secondo l’FBI), è nuovamente al centro dell’attenzione per una serie di attacchi effettuati contro aziende giapponesi. Lazarus Group (noto anche come Hidden Cobra o Zinc) ha utilizzato due nuovi tool denominati VSingle e ValeforBeta. Il ricercatore di sicurezza Shusei Tomonaga ha illustrato il loro funzionamento.
VSingle e ValeforBeta: nuovi tool di Lazarus Group
VSingle è un bot HTTP che esegue codice arbitrario da una rete remota. Il malware esegue il suo codice principale tramite DLL injection, quindi scarica ed esegue quattro tipi di plugin (Windows PE, VBS, BAT e shellcode). Dopo l’installazione viene effettuato il collegamento con i server C&C (Command and Control), dai quali riceve istruzioni. La sua identificazione è piuttosto difficile, in quanto viene utilizzata una tecnica di offuscamento del codice.
Anche ValeforBeta è un bot HTTP con simili funzionalità, quindi esegue codice arbitrario e installa file sul computer della vittima. In maniera analoga si collega ai server remoti, dai quali riceve una serie di comandi. Per mantenere la connessione vengono utilizzati i tool 3Proxy, Stunnel e Plink.
Tra gli attacchi più noti compiuti da Lazarus Group ci sono quelli contro Sony nel 2014 (furto di film, email e dati personali dei dipendenti) e contro oltre 300.000 computer nel 2017 mediante il ransomware WannaCry. Uno dei più recenti è stato effettuato contro le case farmaceutiche che sviluppano i vaccini, tra cui AstraZeneca. Il Dipartimento di Giustizia degli Stati Uniti ha accusato tre militari nordcoreani di aver partecipato a diverse campagne di hacking organizzate da Lazarus Group.