La Lazarus Group, un attore di minaccia persistente avanzato e altamente capace collegato alla Corea del Nord, è stato osservato mirare a versioni vulnerabili dei server Microsoft Internet Information Services (IIS) come via di accesso iniziale per distribuire malware su sistemi target. Il Centro di risposta alle emergenze di sicurezza AhnLab (ASEC) ha riferito che il gruppo sta utilizzando tecniche di caricamento laterale di DLL per distribuire la libreria maligna msvcr100.dll, progettata per decrittare un payload codificato che viene quindi eseguito in memoria. La catena di attacco prevedeva inoltre lo sfruttamento di un plugin open source di Notepad ++, chiamato Quick Color Picker, ormai dismesso, per consegnare malware aggiuntivi al fine di facilitare il furto delle credenziali e il movimento laterale.
Il Dipartimento del Tesoro degli Stati Uniti ha recentemente sanzionato quattro entità e un individuo coinvolti in attività di cyber malignità e schemi di raccolta fondi finalizzati a sostenere le priorità strategiche della Corea del Nord. Questo include la Pyongyang University of Automation, il Technical Reconnaissance Bureau e la sua unità di cibernetica, il 110th Research Center, Chinyong Information Technology Cooperation Company e un cittadino nordcoreano di nome Kim Sang Man. Si ritiene che la Lazarus Group sia gestita dal Technical Reconnaissance Bureau, che supervisiona lo sviluppo da parte della Corea del Nord di tattiche e strumenti offensivi di cibernetica.
Il governo sudcoreano ha avvertito che il paese è noto per generare entrate illecite da una forza lavoro di esperti IT che si nascondono sotto identità fittizie per ottenere lavori nei settori della tecnologia e della valuta virtuale in tutto il mondo. I lavoratori offuscano deliberatamente le loro identità, le loro località e le loro nazionalità, di solito utilizzando personalità false, account proxy, identità rubate e documentazione falsificata o contraffatta per applicare a queste aziende. Le aziende dovrebbero monitorare attivamente le relazioni di esecuzione di processi anomali e prendere misure preventive per impedire al gruppo di minaccia di svolgere attività come l’estrazione di informazioni e il movimento laterale.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.