- Microsoft, in un nuovo rapporto, ha identificato l'attore della minaccia che è entrato in gioco prima dell'attacco malware
- Volexity ha anche pubblicato un elenco di raccomandazioni per gli utenti per mitigare i rischi posti da questi malware
Un nuovo rapporto pubblicato dal gigante della tecnologia Microsoft ha esaminato più da vicino le attività dannose perpetrate da Lazarus Group. Ricordiamo che il gruppo Lazarus era il famigerato gruppo di hacker con sede nella Corea del Nord.
DEV-0139 rivolto ai trader di criptovalute
Secondo il rapporto, Microsoft ha identificato un attore di minacce che prendeva di mira i trader di criptovalute. Secondo quanto riferito, l'autore della minaccia, soprannominato DEV-0139, ha guadagnato la fiducia del bersaglio prima di distribuire il suo attacco malware. Il metodo inizia identificando i potenziali obiettivi attraverso i gruppi di Telegram.
Una volta stabilito un livello di fiducia sufficiente, DEV-0139 invia un file Excel infetto con il nome "OKX Binance & Houbi VIP fee comparative.xls". Questo sembra essere un documento dall'aspetto autentico che contiene strutture tariffarie. Tuttavia, il file è incorporato con un programma dannoso che concede una backdoor all'autore del reato.
Rapporto di Volexity
Le affermazioni di Microsoft sono state sostenute anche dalla società americana di sicurezza informatica Volexity, che ha identificato DEV-0139 come l'ultimo ceppo del malware AppleJeus. Questo malware è stato fatto risalire al gruppo Lazarus.
"L'analisi tecnica del malware AppleJeus distribuito ha scoperto una nuova variante del caricamento laterale delle DLL che Volexity non ha mai visto documentato in precedenza come in circolazione." ha affermato la ditta.
Secondo Volexity, il crescente controllo e la notorietà di Lazarus lo hanno spinto a ricorrere a questo malware modificato. Il malware sembra avere un profilo relativamente basso ma richiede uno sforzo maggiore per avere successo.
Raccomandazioni per difendersi da DEV-0139
Microsoft ha consigliato ai propri utenti di modificare le impostazioni di sicurezza delle macro di Excel per controllare quali macro vengono eseguite e in quali circostanze. Inoltre, la società ha anche chiesto agli utenti di attivare le regole di riduzione della superficie di attacco di Microsoft.
Volexity ha anche pubblicato un elenco di raccomandazioni per gli utenti per mitigare i rischi posti da questi malware. Oltre a bloccare l'esecuzione di Macro in Microsoft Office, l'azienda ha chiesto agli utenti di utilizzare il Regole YARA. Queste regole aiuterebbero a rilevare attività dannose e a bloccarne alcune IOC.
Il Gruppo Lazzaro
Il gruppo Lazarus è stato coinvolto in diversi hack ed exploit quest'anno. Gli exploit, quindi, hanno provocato la perdita di centinaia di milioni di dollari. L'hacking di più alto profilo è stato quello effettuato su Axie Infinity Ponte Ronin torna a marzo. Ciò ha comportato la perdita di $ 600 milioni.
Altri attacchi noti includono l'attacco da 100 milioni di dollari al Protocollo Armonia nel mese di giugno. Anche questo gruppo lo era la colpa dall'agenzia di polizia nazionale giapponese per una serie di attacchi di phishing volti a rubare risorse crittografiche dalle società crittografiche del paese.
Fonte: https://ambcrypto.com/microsofts-latest-revelation-about-lazarus-group-is-all-you-need-to-know/