Almeno sei organizzazioni in Corea del Sud sono state prese di mira dal prolifico legato alla Corea del Nord Gruppo Lazzaro Come parte di una campagna soprannominata Synchole operativo.
L’attività ha preso di mira il software program della Corea del Sud, IT, le industrie di produzione finanziaria, dei semiconduttori e delle telecomunicazioni, secondo un rapporto di Kaspersky pubblicato oggi. Le prime show di compromesso furono rilevate per la prima volta nel novembre 2024.
La campagna prevedeva una “sofisticata combinazione di una strategia di wiring Gap e di sfruttamento della vulnerabilità all’interno del software program sudcoreano”, i ricercatori della sicurezza Sojun Ryu e Vasily Berdnikov disse. “Una vulnerabilità di un giorno nell’agente Innorix è stata utilizzata anche per il movimento laterale.”
Gli attacchi sono stati osservati aprendo la strada alle varianti di noti strumenti di Lazzaro come Minaccia, Agamennone, Wagent, SignbtE Copperhedge.
Ciò che rende queste intrusioni particolarmente efficaci è il probabile sfruttamento di una vulnerabilità di sicurezza in Cross Ex, un software program legittimo prevalente in Corea del Sud per consentire l’uso di software program di sicurezza nelle banche on-line e nei siti Net governativi per supportare le firme digitali anti-keylogging e basate sui certificati.
“Il gruppo Lazzaro mostra una forte comprensione di questi dettagli e sta utilizzando una strategia mirata alla Corea del Sud che combina vulnerabilità in story software program con attacchi di wiring Gap”, ha affermato il venditore di sicurezza informatica russa.
Lo sfruttamento di un difetto di sicurezza nell’agente innorix per il movimento laterale è notevole per il fatto che è stato anche un approccio simile adottato dal Sub-cluster di Andariel del gruppo Lazzaro in passato per fornire malware come Volgmer e Andardoor.
Il punto di partenza dell’ultima ondata di attacchi è un attacco di buca per irrigazione, che ha attivato lo spiegamento di minacce dopo che gli obiettivi hanno visitato vari siti dei media on-line sudcoreani. I visitatori che atterrano sui siti vengono filtrati utilizzando uno script lato server prima di reindirizzarli a un dominio controllato da avversario per servire il malware.
“Valutiamo con media fiducia che il sito reindirizzato potrebbe aver eseguito uno script dannoso, mirando a un potenziale difetto in Cross Ex installato sul PC goal e lanciando malware”, hanno affermato i ricercatori. “Lo script alla high-quality ha eseguito il legittimo synchost.exe e ha iniettato un code shell che ha caricato una variante di minaccia in quel processo.”
La sequenza di infezione è stata osservata adottando due fasi, usando minacciose e agenti nelle prime fasi e quindi SignBt e Copperhedge per stabilire la persistenza, condurre la ricognizione e fornire strumenti di dumping credenziali sugli ospiti compromessi.
Sono inoltre distribuite famiglie di malware come LPECLIENT per la profilazione delle vittime e la consegna del carico utile e un downloader soprannominata Agamennon per il obtain e l’esecuzione di carichi di utili aggiuntivi ricevuti dal server Command-and-Management (C2), mentre simultaneamente incorporando la tecnica di Hell’s Gate per bypassare le soluzioni di sicurezza durante l’esecuzione.
Un payload scaricato da Agamennon è uno strumento progettato per eseguire il movimento laterale sfruttando un difetto di sicurezza nello strumento di trasferimento di file agente innorix. Kaspersky ha affermato che la sua indagine ha portato alla luce un ulteriore file arbitrario obtain vulnerabilità zero-day in Innorix Agent che ha Da allora è stato patchato dagli sviluppatori.
“Gli attacchi specializzati del Gruppo Lazzaro destinato alle catene di approvvigionamento in Corea del Sud dovrebbero continuare in futuro”, ha affermato Kaspersky.
“Gli aggressori stanno anche facendo sforzi per ridurre al minimo il rilevamento sviluppando nuovi malware o migliorando il malware esistente. In particolare, introducono miglioramenti alla comunicazione con la struttura di comando C2 e il modo in cui inviano e ricevono dati.”
