Perché l'individuazione dei moderni attacchi C2 richiede la modellizzazione comportamentale, non la decrittografia
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Attore statale

Gruppo Lazarus

  1. Stato:
  1. Stato:

Il Gruppo Lazarus è un gruppo nordcoreano di minacce persistenti avanzate (APT) finanziato dallo Stato.

Individuare le TTP utilizzate da Lazarus
La vostra organizzazione è al sicuro dagli attacchi di Lazarus?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine del Gruppo Lazarus

Il gruppo Lazarus è attivo dal 2009 circa, con la sua prima operazione di rilievo nota come "Operazione Troy". È responsabile di diversi attacchi informatici di grande risonanza, tra cui l'attacco hacker ai danni della Sony Pictures del 2014, la rapina alla Banca del Bangladesh del 2016 e l'attacco ransomware WannaCry del 2017.

A differenza di molti gruppi sostenuti dallo Stato, Lazarus è fortemente motivato da interessi economici e compie rapine in banca e furti di criptovalute per sostenere l'economia della Corea del Nord.

Secondo il MITRE, le definizioni dei gruppi di hacker nordcoreani spesso si sovrappongono in modo significativo. Alcuni ricercatori nel campo della sicurezza classificano tutte le attività informatiche sponsorizzate dallo Stato nordcoreano sotto il nome di Lazarus Group, anziché distinguere tra cluster o sottogruppi specifici come Andariel, APT37, APT38 e Kimsuky.

Il gruppo ha utilizzato il nome Guardians of Peace per l'attacco hacker ai danni di Sony, ma è noto anche con altri nomi quali Hidden Cobra (secondo il Dipartimento della Sicurezza Interna degli Stati Uniti e l'FBI), ZINC, NICKEL ACADEMY, Diamond Sleet (secondo Microsoft) e Labyrinth Chollima (secondo Crowdstrike).

Fonte della cronologia: Trend Micro

Paesi presi di mira da Lazarus

Le attività del gruppo sono state rintracciate a livello globale, con attività confermate negli Stati Uniti, in Corea del Sud, in India, in Bangladesh e nella più ampia regione dell'Asia-Pacifico. Il gruppo ha preso di mira anche entità in Europa e in Medio Oriente. Lazarus è noto per colpire paesi coinvolti in sanzioni economiche o controversie diplomatiche con la Corea del Nord.

Settori presi di mira dal Gruppo Lazarus

Il Gruppo Lazarus ha dimostrato di avere un profilo di bersagli molto variegato, che comprende agenzie governative, istituzioni finanziarie, appaltatori del settore della difesa, piattaforme di scambio di criptovalute e società operanti nel settore dei media. Le loro motivazioni spaziano dallo spionaggio politico alla sottrazione di fondi, con particolare attenzione ai settori in grado di generare risorse finanziarie per il regime nordcoreano o di fornire informazioni sensibili.

Le vittime di Lazzaro

Tra le vittime più note figurano Sony Pictures (2014), la Banca del Bangladesh (2016) e diverse piattaforme di scambio di criptovalute. La loro attività nel settore finanziario, in particolare attraverso l'uso di malware distruttivo malware furti informatici, ha causato danni per milioni di dollari. Il gruppo ha inoltre condotto campagne di spionaggio informatico contro istituzioni sudcoreane.

Metodo di attacco

Il metodo di attacco del Gruppo Lazarus

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

Lazarus ricorre spesso aphishing per ottenere l'accesso iniziale, utilizzando solitamente allegati o link dannosi che diffondono malware personalizzato.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Una volta ottenuto l'accesso, utilizzano strumenti quali rootkit o malware personalizzato malware elevare i propri privilegi e penetrare più in profondità nelle reti.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo è abile nell'aggirare le misure di sicurezza ricorrendo a tecniche quali la disattivazione dei software di sicurezza, l'utilizzo di certificati rubati o lo sfruttamento zero-day .

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Lazarus utilizza keylogger, strumenti per l'estrazione delle credenziali e exploit per raccogliere le credenziali degli utenti, prendendo spesso di mira account con privilegi elevati.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Una volta penetrati in un sistema, effettuano una ricognizione della rete per individuare i sistemi critici e gli archivi di dati utilizzando comandi e strumenti integrati come PowerShell.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Lazarus si muove lateralmente all'interno delle reti utilizzando credenziali valide, protocolli di desktop remoto (RDP) o sfruttando i rapporti di fiducia tra i sistemi.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

I dati sensibili vengono spesso raccolti tramite strumenti quali servizi di condivisione file o malware funzionalità di esfiltrazione personalizzate, che prendono di mira dati finanziari, portafogli di criptovalute e documenti riservati.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il gruppo utilizza backdoor personalizzate, come Manuscrypt e Destover, per eseguire comandi da remoto e garantire la persistenza.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

I dati rubati vengono sottratti tramite server web compromessi, server FTP o canali di comunicazione crittografati, per garantire che le informazioni raggiungano la loro infrastruttura di comando e controllo.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Nel settore finanziario, Lazarus spesso compromette i sistemi dopo averli violati, utilizzando malware di tipo "wiper" malware coprire le proprie tracce. Il gruppo è stato coinvolto in campagne di ransomware e nella distruzione di dati, aggravando ulteriormente le conseguenze per le proprie vittime.

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Lazarus ricorre spesso aphishing per ottenere l'accesso iniziale, utilizzando solitamente allegati o link dannosi che diffondono malware personalizzato.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Una volta ottenuto l'accesso, utilizzano strumenti quali rootkit o malware personalizzato malware elevare i propri privilegi e penetrare più in profondità nelle reti.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

Il gruppo è abile nell'aggirare le misure di sicurezza ricorrendo a tecniche quali la disattivazione dei software di sicurezza, l'utilizzo di certificati rubati o lo sfruttamento zero-day .

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

Lazarus utilizza keylogger, strumenti per l'estrazione delle credenziali e exploit per raccogliere le credenziali degli utenti, prendendo spesso di mira account con privilegi elevati.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

Una volta penetrati in un sistema, effettuano una ricognizione della rete per individuare i sistemi critici e gli archivi di dati utilizzando comandi e strumenti integrati come PowerShell.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Lazarus si muove lateralmente all'interno delle reti utilizzando credenziali valide, protocolli di desktop remoto (RDP) o sfruttando i rapporti di fiducia tra i sistemi.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

I dati sensibili vengono spesso raccolti tramite strumenti quali servizi di condivisione file o malware funzionalità di esfiltrazione personalizzate, che prendono di mira dati finanziari, portafogli di criptovalute e documenti riservati.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Il gruppo utilizza backdoor personalizzate, come Manuscrypt e Destover, per eseguire comandi da remoto e garantire la persistenza.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

I dati rubati vengono sottratti tramite server web compromessi, server FTP o canali di comunicazione crittografati, per garantire che le informazioni raggiungano la loro infrastruttura di comando e controllo.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

Nel settore finanziario, Lazarus spesso compromette i sistemi dopo averli violati, utilizzando malware di tipo "wiper" malware coprire le proprie tracce. Il gruppo è stato coinvolto in campagne di ransomware e nella distruzione di dati, aggravando ulteriormente le conseguenze per le proprie vittime.

MITRE ATT&CK

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Rilevamenti della piattaforma

Come individuare Lazarus con Vectra AI

File Share Enumeration

Hidden HTTPS Tunnel

Privilege Anomaly: Unusual Account on Host

Suspicious Port Sweep

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La vostra organizzazione è al sicuro dagli attacchi di Lazarus?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti

Per cosa è noto il Gruppo Lazarus?

Cosa spinge il Gruppo Lazarus?

In che modo Lazarus ottiene l'accesso iniziale ai sistemi di destinazione?

Quali sono i settori più comunemente presi di mira da Lazarus?

Quali malware sono associati al Gruppo Lazarus?

Cosa rende il Lazarus Group così difficile da individuare?

Che ruolo svolge Lazarus nei reati finanziari?

In che modo le organizzazioni possono individuare le attività del Gruppo Lazarus?

Quali sono alcune misure difensive per contrastare il Gruppo Lazarus?

Il Gruppo Lazarus è stato coinvolto in attacchi ransomware?