Il gruppo ancora una volta ha fatto penzolare false opportunità di lavoro per gli ingegneri in una campagna di spear-phishing che ha usato Windows Update come tecnica per vivere sul campo e GitHub come C2.
Lazarus Group sta usando Windows Update per spruzzare malware in una campagna alimentata da un server command-and-control (C2) di GitHub, hanno scoperto i ricercatori.
Giovedì, il team di Malwarebytes Threat Intelligence ha riferito di aver scoperto l’ultima tecnica di living-off-the-land del gruppo nordcoreano advanced persistent threat (APT) mentre analizzava una campagna di spear-phishing che i suoi ricercatori hanno scoperto 10 giorni fa, il 18 gennaio.
L’obiettivo della campagna – in cui l’APT si è mascherato da gigante americano della sicurezza globale e aerospaziale Lockheed Martin – è in linea con il gusto di Lazarus per infiltrarsi nei militari.
I ricercatori considerano Lazarus, che è stato attivo almeno dal 2009, come uno degli attori di minacce più attivi al mondo.
Gli Stati Uniti si riferiscono a Lazarus anche come Hidden Cobra: un nome usato per riferirsi alla cyber-attività malevola del governo nordcoreano in generale.
“Questo gruppo APT è stato dietro campagne di spionaggio informatico e ransomware su larga scala ed è stato individuato mentre attaccava l’industria della difesa e i mercati delle criptovalute”, hanno notato i ricercatori Kaspersky in passato.
Secondo il rapporto di giovedì di Malwarebytes, la campagna di spear-phishing del 18 gennaio è stata armata con documenti dannosi che cercano di attirare gli obiettivi a cliccare utilizzando la stessa balla delle “opportunità di lavoro” che il gruppo ha fatto penzolare prima.
Lazarus ha fatto la stessa cosa lo scorso luglio: A quel tempo, l’APT è stato identificato come dietro una campagna che stava diffondendo documenti dannosi per gli ingegneri in cerca di lavoro, impersonando gli appaltatori della difesa che stavano presumibilmente cercando candidati a Airbus, General Motors e Rheinmetall.
Malwarebytes ha trovato due tali documenti esca macro-embedded, fingendo di offrire nuove opportunità di lavoro alla Lockheed Martin, nella campagna del 18 gennaio. I loro nomi di file:
● Lockheed_Martin_JobOpportunities.docx
● Salario_Lockheed_Martin_job_opportunities_confidential.doc
Entrambi i documenti avevano un tempo di compilazione del 4 aprile 2020, ma Malwarebytes ha detto che la campagna è stata effettivamente utilizzata alla fine del mese scorso e in questo mese, come indicato dai domini utilizzati dall’attore della minaccia.
Tutto inizia con Word
L’attacco inizia con l’esecuzione di macro dannose incorporate nei documenti Word, che possono eludere anche protezioni firewall, VPN e antivirus. A proposito di VPN, apriamo una piccola parentesi.
Queste possono essere utilizzate anche per aumentare la propria sicurezza. Una VPN gratuita è un’idea migliore rispetto a quella di farne completamente a meno e per questo consigliamo comunque di testarne qualcuna. Dopo una serie di iniezioni, il malware raggiunge la persistenza all’avvio nel sistema della vittima.
Dopo che un obiettivo apre gli allegati maligni e abilita l’esecuzione delle macro, una macro incorporata fa cadere un file WindowsUpdateConf.lnk nella cartella di avvio e un file DLL (wuaueng.dll) in una cartella nascosta Windows/System32. I file LNK sono file di collegamento di Windows, come dire, puntatori a file originali in Windows.
Successivamente, il file .LNK viene utilizzato per lanciare il client WSUS / Windows Update – wuauclt.exe, un file di processo legittimo popolarmente noto come aggiornamenti automatici di Windows che si trova in C:\Windows\System32 per impostazione predefinita. Il client di aggiornamento viene utilizzato per eseguire una DLL dannosa che aggira il rilevamento della sicurezza.
“Con questo metodo, l’attore della minaccia può eseguire il suo codice dannoso attraverso il client di Microsoft Windows Update passando i seguenti argomenti: /UpdateDeploymentProvider, percorso della DLL dannosa e argomento /RunHandlerComServer dopo la DLL”, hanno spiegato i ricercatori.
Gli autori di malware spesso creano file con script di virus e li chiamano come wuauclt.exe. Infatti, nell’ottobre 2020, wuauclt.exe è stato aggiunto alla lista dei binari che vivono fuori dalla terra (LOLBins): eseguibili firmati da Microsoft che gli aggressori utilizzano per eseguire codice dannoso sui sistemi Windows mentre eludono il rilevamento.
“Questa è una tecnica interessante utilizzata da Lazarus per eseguire la sua DLL dannosa utilizzando il client di aggiornamento di Windows per aggirare i meccanismi di rilevamento della sicurezza”, ha osservato il team di threat-intelligence. “Con questo metodo, l’attore minaccia può eseguire il suo codice dannoso attraverso il client di Microsoft Windows Update passando i seguenti argomenti: /UpdateDeploymentProvider, percorso della DLL dannosa e argomento /RunHandlerComServer dopo la DLL”.
GitHub usato come C2 “raramente”
L’uso di GitHub come C2 è raro, hanno osservato i ricercatori, e questa è la prima volta che hanno visto Lazarus farlo.
Ma è una scelta appropriata per il compito in questione, hanno detto: “Usare GitHub come C2 ha i suoi svantaggi, ma è una scelta intelligente per attacchi mirati e a breve termine, in quanto rende più difficile per i prodotti di sicurezzadistinguere tra connessioni legittime e dannose”.
Per quanto riguarda l’account rogue GitHub utilizzato come C2 nella campagna, Malwarebytes Labs lo ha segnalato “per contenuti dannosi”, secondo la sua scrittura.