L’attore della minaccia nordcoreana noto come il Gruppo Lazzaro è stato osservato sfruttando una “piattaforma amministrativa basata sul internet” per supervisionare la sua infrastruttura di comando e controllo (C2), dando all’avversario la capacità di supervisionare centralmente tutti gli aspetti delle loro campagne.
“Ogni server C2 ha ospitato una piattaforma amministrativa basata sul Internet, costruita con un’applicazione React e un’API Node.js”, ha detto il group di Strike di SecurityScorecard in un nuovo rapporto condiviso con le notizie di hacker. “Questo livello amministrativo period coerente in tutti i server C2 analizzati, anche se gli aggressori variavano i loro carichi utili e le tecniche di offuscamento per eludere il rilevamento.”
Il framework nascosto è stato descritto come un sistema completo e un hub che consente agli aggressori di organizzare e gestire i dati esfiltrati, mantenere la supervisione dei loro host compromessi e gestire la consegna del carico utile.
Il pannello di amministrazione basato sul Internet è stato identificato in relazione a una campagna di attacco della catena di approvvigionamento soprannominata Phantom Circuit che mira al settore delle criptovalute e agli sviluppatori in tutto il mondo con versioni trojanizzate di pacchetti software program legittimi che contengono backdoor.
“Questi sono pacchetti legittimi che vanno dalle applicazioni di criptovaluta alle soluzioni di autenticazione”, ha detto a Hacker Information Ryan Sherstobitoff, vicepresidente senior di Analysis and Intelligence di SecurityScoreCard. “Quello che hanno in comune è che molte di queste applicazioni sono app Internet che utilizzano node.js.”
“Stanno incorporando un codice offuscato nei repository e invorando gli sviluppatori di software program nella gestione del codice come parte di un check di competenze, un colloquio o qualche altra opportunità, spesso questi sviluppatori lo gestiscono sui loro laptop computer aziendali. Ciò consente quindi agli operatori di infiltrarsi in tutto il mondo. “
Si stima che la campagna, che si è svolta tra settembre 2024 e gennaio 2025, abbia causato 233 vittime in tutto il mondo a gennaio e 1.639 in totale, con la maggior parte di esse identificate in Brasile, Francia e India. Delle 233 entità prese di mira, 110 si trovano in India.
IL Gruppo Lazzaro è diventato una specie di Esperto di ingegneria socialeattirare prospettico obiettivi Utilizzo di LinkedIn come vettore di infezione iniziale sotto il pretesto di redditizie opportunità di lavoro o una collaborazione congiunta su progetti relativi alle criptovalute.
I collegamenti dell’operazione a Pyongyang derivano dall’uso di Assill VPN – che ha precedentemente collegato allo schema dei lavoratori fraudolenti della tecnologia dell’informazione (IT) – e alla scoperta di sei distinti indirizzi IP della Corea del Nord che sono stati trovati che avviavano connessioni, che sono state instradate attraverso i nodi di uscita di Astrill VPN e gli endpoint proxy di Oculus.
“Il traffico offuscato alla high-quality ha raggiunto l’infrastruttura C2, ospitato Stark Industries server. Questi server hanno facilitato la consegna del payload, la gestione delle vittime e l’esfiltrazione di dati “, ha affermato SecurityScoreCard.
Ulteriori analisi del componente amministratore hanno rivelato che consente agli attori delle minacce di visualizzare i dati esfiltrati dalle vittime, nonché la ricerca e il filtro di interesse.
Si sospetta che la piattaforma amministrativa Internet sia stata utilizzata in tutte le campagne relative a Minaccia dei lavoratorifungendo da condotto per gli attori delle minacce per gestire le informazioni raccolte dalle vittime all’estero, secondo Sherstobitoff.
“Incorporando backdoor offuscati in pacchetti software program legittimi, Lazzaro ha ingannato gli utenti nell’esecuzione di applicazioni compromesse, consentendo loro di esfiltrare i dati sensibili e gestire le vittime attraverso i server di comando e controllo (C2) sulla porta 1224”, ha affermato la società.
“L’infrastruttura della campagna ha sfruttato i pannelli e le API del nodo basate su reazione nascosta. e proxy intermedi. “
