Lazarus Group: nell'ultima campagna di attacco il malware si nasconde nelle immagini

Lazarus Group: nell'ultima campagna di attacco il malware si nasconde nelle immagini

Con una tecnica ingegnosa il gruppo hacker ha nascosto uno strumento RAT all'interno di un'immagine per aggirare i sistemi di rilevazione antimalware

di pubblicata il , alle 18:41 nel canale Sicurezza
 

Una recente campagna di phishing operata dal noto gruppo hacker Lazarus Group, ha mostrato l'impiego di nuove tecniche di offuscamento che prevede l'abuso di file di immagine per nascondere i payload dannosi che usano per le loro azioni di attacco. La campagna è stata analizzata da Malwarebytes e illustrata in un resoconto pubblicato lo scorso 13 aprile.

L'attacco prende il via, come spesso accade con le campagne malware, con un'email di phishing che contiene un documento Microsoft Office compromesso e destinato ad un pubblico coreano. Ai bersagli viene richiesta l'abilitazione delle macro di Office perché sia possibile visualizzare il contenuto del file, operazione che apre la strada all'attivazione di un payload dannoso. Il nome del documento è in coreano “참가 신청서 양식 .doc” ed è un modulo di richiesta di partecipazione a una fiera in una delle città della Corea del Sud. L'ora di creazione del documento è il 31 marzo 2021, il che indica che l'attacco è avvenuto più o meno nello stesso periodo.

La macro infatti innesca la comparsa di un messaggio pop-up che informa di essere una vecchia versione di Office, ma al contempo invoca un file HTA eseguibile compresso come file zlib a sua volta all'interno di un file in formato .PNG. Durante l'operazione di decompressione, il PNG viene convertito in formato BMP e una volta attivato l'HTA rilascia un loader per un Trojan con funzionalità RAT (Remote Access Tool) che viene salvato con il nome AppStore.exe nel sistema bersaglio.

"Si tratta di un metodo intelligente usato dall'atttaccante per aggirare i meccanismi di sicurezza capaci di rilevare oggetti incorporati nelle immagini. Il documento contiente un'immagine PNG che ha un oggetto dannoso zlib compresso e proprio perché compresso non può essere individuato dai rilevamenti statici. L'attore di minaccia ha usato un meccanismo di conversione per decomprimere il contenuto dannoso" spiegano i ricercatori di Malwarebytes.

Il RAT ha poi la possibilità di comunicare con un server command and control per ricevere comandi ed eseguire azioni. Il canale di comunicazione tra il malware ed il server è crittografata tramite un algoritmo che già precedentemente è stato individuato in Bistromath, un altro RAT di Lazarus Group.

Lazarus è tra i gruppi di hacker più attivi, sofisticati e pericolosi attivo almeno dal 2009. Con origine, presumibile, nella Corea del Nord, tende a prendere di mira vittime negli USA, Corea del Sud e Giappone. Il gruppo è noto per lo sviluppo di famiglie di malware con caratteristiche personalizzate, nonché per l'impiego di ingegnose tecniche di attacco e offuscamento nelle sue operazioni. Ricordiamo che Lazarus Group è stato collegato, secondo le analisi di varie realtà operanti nel campo della sicurezza informatica, a WannaCry, uno degli attacchi più significativi del passato recente.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Notturnia22 Aprile 2021, 00:39 #1
Macro in file allegati e la gente ci casca ancora ? ...
biffuz22 Aprile 2021, 10:37 #2
Diciamo che la novità è l'immagine che dice "documento non visibile in safe mode". Simpatico. Ma non è proprio nuovissimo, ne ho ricevuti un po' un annetto fa, e la prima volta aveva lasciato interdetto anche me...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^