Lazarus sfrutta Log4Shell per nuovi strumenti malware

Il gruppo hacker Lazarus, noto per moltissime campagne ad ampio spettro tra le quali la più celebre è quella del ransomware WannaCry risalente al 2017, ha di recente avviato una nuova campagna di distribuzione di due nuovi malware RAT (Remote Access Tool) e di un downloader chiamato Bottom Loader. NineRAT e DLRAT sono invece i nomi dei due strumenti per l'accesso remoto.

Tutti e tre i malware sono realizzati in linguaggio di programmazione D, usato piuttosto raramente nelle operazioni cybercriminali e scelto probabilmente per rendere più difficile il loro rilevamento. Ma l'aspetto più importante è il fatto che questi malware sfruttano la vulnerabilità CVE-2021-44228, ben nota con il nome di "Log4Shell". Vi ricordate di che si tratta? Ne abbiamo parlato estensivamente alla fine del 2021, quando la sua scoperta ha causato uno scossone nel mondo della sicurezza informatica.

Riassumendo velocemente: Log4Shell è una falla che consente l'esecuzione di codice remoto senza autenticazione che permette di prendere il completo controllo di sistemi che fanno uso della libreria Log4j nelle versioni dalla 2.0-beta9 fino alla 2.15.0. La falla è stata scoperta come una zero-day attivamente sfruttata il 10 dicembre 2021 e il suo impatto diffuso, la facilità di sfruttamento e le enormi implicazioni per la sicurezza hanno rappresentato una sorta di "pasto gratis" per gli attori di minaccia.

Tornando a Lazarus, la nuova campagna è stata individuata dai ricercatori di sicurezza di Cisco Talos, che l'hanno battezzata "Operazione Blacksmith". Il suo avvio risale al marzo 2023, e gli obiettivi sono aziende manifatturiere, agricole e di sicurezza fisica in tutto il mondo.

NineRAT fa uso dell'API di Telegram per le comunicazioni di comando e controllo, tra cui la ricezione di comandi e l'esfiltrazione di file dal sistema compromesso. Questo malware incorpora inoltre uno strumento dropper, responsabile inoltre dell'instaurazione della persistenza e dell'avvio dei file principali. NineRAT supporta svariati comandi che oltre alle funzioni già indicate in precedenza permettono inoltre di aggiornare il malware, di renderlo dormiente per un periodo di tempo determinato e anche di disinstallarlo.

DLRAT è invece un trojan e downloader che Lazarus può utilizzare per introdurre payload aggiuntivi su un sistema infetto. Quando DLRAT viene recapitato su un sistema, il suo primo compito è quello di eseguire comandi hard-coded per raccogliere una serie di informazioni utili per le operazioni successive, come ad esempio i dettagli del sistema operativo e l'indirizzo MAC di rete, e inviarle al server C2. Il malware supporta una serie di comandi che permettono di scaricare e rinominare file dal sistema infetto, caricare file sul server C2 o, anche in questo caso, rendere dormiente DLRAT per un periodo di tempo specificato.

BottomLoader è, infine, un malware downloader che preleva ed esegue payload da un URL hardcoded utilizzando PowerShell stabilendo allo stesso tempo la persistenza da essi modificando la directory Startup. Questo malware ha inoltre la possibilità di esfiltrare file dal sistema infetto al server C2.

Gli obiettivi di questa campagna sono i server VMWare Horizon che utilizzano una versione vulnerabile della libreria Log4j. Una volta individuata una vittima potenziale, il gruppo Lazarus effettua una sorta di "ricognizione" della rete-bersaglio per installare successivamente uno strumento proxy per garantirsi accesso persistente sulla macchina violata. Da qui vengono creati nuovi account admin e distribuiti strumenti per il furto delle credenziali, come ProcDump e MimiKatz. E' da questo punto che viene distribuito NineRAT e/o DLRAT. Non è inoltre da escludere che il gruppo Lazarus metta a disposizione di altri gruppi APT (Advanced Persistent Threat) le informazioni raccolte tramite NineRAT.

Nonostante le patch di sicurezza per la libreria Log4j siano in circolazione ormai da due anni, vi sono ancora numerose realtà che fanno uso di versioni vulnerabili a vari problemi di sicurezza, oltre a Log4Shell. La società di sicurezza Veracode ha analizzato per novanta giorni, dal 15 agosto al 15 novembre, oltre 38 mila applicazioni da parte di 3866 organizzazioni ricavando statistiche interessanti.

Di queste applicazioni, basate su versioni di Log4j dalla 1.1 alla 3.0.0-alpha1, il 2,8% usa le varianti di Log4j dalla 2.0-beta9 alla 2.15.0 che sono vulnerabili a Log4Shell. Il 3,8% invece usa la versione 2.17.0, che sebbene non sia vulnerabile a Log4Shell è comunque prona ad attacchi che sfruttano la vulnerabilità CVE-202-44832, mentre il 32% usa la versione Log4j 1.2.x, ormai non più supportata da agosto 2015 e vulnerabili a numerose altre falle gravi.

L'utilizzo, ancor oggi, di versioni obsolete di Log4j è sintomo di come in generale alcuni sviluppatori e maintainer ignorino o rimandino gli aggiornamenti di sicurezza per evitare complicazioni nel funzionamento dei sistemi. Dalle analisi di Veracode emerge inoltre come una parte consistente degli sviluppatori scelga di non aggiornare mai le librerie di terze parti dopo la loro inclusione iniziale nel codice per evitare di compromettere le funzionalità, anche nel caso in cui si tratti di aggiornamenti minori e correzioni che non causano problemi funzionali.

Log4j al momento continua a rappresentare una fonte di rischio in un caso su tre, e continua ad essere un modo in cui gli attaccanti possono concentrarsi su una falla facile da sfrtuttare per compromettere obiettivi di valore. Purtroppo Log4Shell non è stata quella sveglia per la sicurezza informatica che due anni fa qualcuno ha auspicato e la nuova campagna di Lazarus ne è purtroppo dimostrazione.