Da qualche giorno, il gruppo Lazarus è nuovamente protagonista di vari attacchi contro aziende e singoli utenti. Il Microsoft Threat Intelligence Center (MSTIC) ha scoperto che i cybercriminali nordcoreani sfruttano versioni modificate di popolari software open source per colpire numerosi target. I malware usati durante le ultime campagne vengono rilevati da Defender Antivirus e dalle altre soluzioni di sicurezza.
Lazarus usa PuTTY, KiTTY e TightVNC
Lo spear phishing è la tattica principale usata da Lazarus per convincere i dipendenti aziendali ad aprire gli allegati infetti inviati via email. L’obiettivo è ottenere l’accesso alla rete per rubare informazioni riservate (cyberspionaggio). I ricercatori di Microsoft hanno scoperto versioni modificate di cinque software open source usati per distribuire i malware della famiglia ZetaNile.
Le versioni infette di PuTTY e KiTTY, due noti client SSH, sono state nascoste in archivi ZIP o immagini ISO. PuTTY viene usato da molti anni per installare il malware EventHorizon e creare un’attività pianificata per mantenere la persistenza. L’uso di KiTTY, fork di PuTTY, è più recente, ma il risultato finale è identico. Entrambi possono scaricare altri malware dopo aver effettuato la connessione al server remoto controllato dai cybercriminali.
Da settembre 2022 viene sfruttata una versione “trojanized” di TightVNC, popolare tool di controllo remoto. La backdoor viene installata quando l’utente sceglie uno degli host elencati nel viewer. ZetaNile può essere installato anche tramite versioni infette di Sumatra PDF e dell’installer di muPDF/Subliminal Recording. Entrambi i software sono distribuiti con file ZIP.