Hacker nordcoreani sfruttano Windows Update per distribuire malware

Il popolare gruppo di attivisti nordcoreani Lazarus ha lanciato una nuova campagna per entrare in possesso di informazioni riservate.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

Stando a quanto riportato da MalwareBytes Labs, il popolare gruppo di attivisti nordcoreani Lazarus ha utilizzato il client di Windows Update per distribuire codice dannoso, evitando così i meccanismi di sicurezza e sfruttando Github come server di comando e controllo per i suoi ultimi attacchi. La scorsa settimana, il team Threat Intelligence di Malwarebytes ha individuato la problematica in due documenti Word utilizzati in un’operazione di spear-phishing relativa a false opportunità di lavoro di Lockheed Martin.

L'obiettivo di Lazarus è quello di infiltrarsi in entità governative di alto livello specializzate in difesa e aerospaziale e rubare quanti più dati di intelligence possibile. I due documenti sono noti come Lockheed_Martin_JobOpportunities.docx, e Salary_Lockheed_Martin_job_opportunities_confidential.doc. Come suggeriscono i nomi, entrambi sembrano voler adescare gli obiettivi con nuove opportunità di lavoro presso Lockheed Martin.

Una serie di comandi macro dannosi viene incorporata nei documenti di Word e inizia a infiltrarsi nel sistema una volta attivata, incorporando immediatamente il codice nel sistema di avvio del computer per garantire che un riavvio non interrompa l’azione del virus. È interessante notare che parte del processo di iniezione utilizza il client di aggiornamento di Windows per installare una DLL dannosa. Questo è molto intelligente in quanto questa tecnica elude i sistemi di rilevamento della sicurezza.

Il metodo di attacco è nuovo, ma la strategia di phishing no. E' la stessa che Lazarus ha usato per oltre un anno, conosciuta come operazione "Dream Job". Consente nell’adescare i dipendenti del governo facendo loro pensare che potrebbero essere qualificati per un lavoro molto ambito, solo per rendersi conto che era tutta una facciata utilizzata per rubare dati sensibili dalle loro postazioni.

Malwarebytes, ESET e McAfee stanno tutti osservando attentamente Lazarus per la sua prossima mossa. La precedente campagna del gruppo è stata un grande successo, in quanto ha infiltrato decine di aziende e organizzazioni su scala globale, tra cui Israele.