Gruppo Lazarus
Il Lazarus Group è un gruppo APT (Advanced Persistent Threat) sponsorizzato dallo Stato nordcoreano.
L'origine del Gruppo Lazarus
Il gruppo Lazarus è attivo dal 2009 circa, con la sua prima operazione importante nota come "Operazione Troy". È responsabile di diversi attacchi informatici di alto profilo, tra cui l'hacking della Sony Pictures nel 2014, la rapina alla Banca del Bangladesh nel 2016 e l'attacco ransomware WannaCry nel 2017.
A differenza di molti gruppi sponsorizzati dallo Stato, Lazarus è fortemente motivato dal punto di vista finanziario e compie rapine in banche e furti di criptovalute per sostenere l'economia della Corea del Nord.
Secondo MITRE, le definizioni dei gruppi di minaccia nordcoreani spesso si sovrappongono in modo significativo. Alcuni ricercatori nel campo della sicurezza classificano tutte le attività informatiche sponsorizzate dallo Stato nordcoreano sotto il nome di Lazarus Group, piuttosto che distinguere tra cluster o sottogruppi specifici come Andariel, APT37, APT38 e Kimsuky.
Il gruppo ha utilizzato il nome Guardians of Peace per l'attacco hacker ai danni di Sony, ma è noto anche con altri nomi, quali Hidden Cobra (dal Dipartimento della Sicurezza Nazionale degli Stati Uniti e dall'FBI), ZINC, NICKEL ACADEMY, Diamond Sleet (da Microsoft) e Labyrinth Chollima (da Crowdstrike).
Paesi presi di mira da Lazarus
Le operazioni del gruppo sono state rintracciate a livello globale, con attività confermate negli Stati Uniti, in Corea del Sud, India, Bangladesh e nella più ampia regione Asia-Pacifico. Hanno anche preso di mira entità in Europa e Medio Oriente. Lazarus è noto per aver preso di mira paesi coinvolti in sanzioni economiche o controversie diplomatiche con la Corea del Nord.
Settori presi di mira dal gruppo Lazarus
Il gruppo Lazarus ha mostrato un profilo di targeting diversificato, che include agenzie governative, istituzioni finanziarie, appaltatori della difesa, exchange di criptovalute e società di media. Le loro motivazioni variano dallo spionaggio politico al furto finanziario, con un focus sui settori che possono generare fondi per il regime nordcoreano o fornire informazioni sensibili.
Le vittime di Lazzaro
Tra le vittime più note figurano Sony Pictures (2014), la Banca del Bangladesh (2016) e varie piattaforme di scambio di criptovalute. La loro attività nel settore finanziario, in particolare attraverso l'uso di malware distruttivi malware rapine, ha causato danni per milioni di dollari. Il gruppo ha anche condotto campagne di spionaggio informatico contro istituzioni sudcoreane.
Il metodo di attacco del gruppo Lazarus
Lazarus utilizza spessophishing per ottenere l'accesso iniziale, ricorrendo spesso ad allegati o link dannosi che distribuiscono malware personalizzato.
Dopo aver ottenuto l'accesso, utilizzano strumenti quali rootkit o malware personalizzati malware elevare i privilegi e penetrare più a fondo nelle reti.
Il gruppo è esperto nell'eludere le misure di sicurezza utilizzando tecniche quali la disattivazione dei software di sicurezza, l'utilizzo di certificati rubati o lo sfruttamento zero-day .
Lazarus utilizza keylogger, strumenti di dumping delle credenziali ed exploit per raccogliere le credenziali degli utenti, prendendo spesso di mira account con privilegi elevati.
Una volta entrati nel sistema, eseguono una ricognizione della rete per identificare i sistemi critici e gli archivi di dati utilizzando comandi e strumenti integrati come PowerShell.
Lazarus si muove lateralmente attraverso le reti utilizzando credenziali valide, protocolli desktop remoto (RDP) o sfruttando le relazioni di fiducia tra i sistemi.
I dati sensibili vengono spesso raccolti tramite strumenti quali servizi di condivisione file o malware funzionalità di esfiltrazione personalizzate, che prendono di mira dati finanziari, portafogli di criptovalute e documenti riservati.
Il gruppo utilizza backdoor personalizzate, come Manuscrypt e Destover, per eseguire comandi da remoto e mantenere la persistenza.
I dati rubati vengono sottratti utilizzando server web compromessi, server FTP o canali di comunicazione crittografati per garantire che le informazioni raggiungano la loro infrastruttura di comando e controllo.
Nelle operazioni finanziarie, Lazarus spesso compromette i sistemi dopo il furto, utilizzando malware di tipo wiper malware coprire le proprie tracce. Il gruppo è stato coinvolto in campagne di ransomware e distruzione di dati, amplificando ulteriormente l'impatto sulle vittime.
Lazarus utilizza spessophishing per ottenere l'accesso iniziale, ricorrendo spesso ad allegati o link dannosi che distribuiscono malware personalizzato.
Dopo aver ottenuto l'accesso, utilizzano strumenti quali rootkit o malware personalizzati malware elevare i privilegi e penetrare più a fondo nelle reti.
Il gruppo è esperto nell'eludere le misure di sicurezza utilizzando tecniche quali la disattivazione dei software di sicurezza, l'utilizzo di certificati rubati o lo sfruttamento zero-day .
Lazarus utilizza keylogger, strumenti di dumping delle credenziali ed exploit per raccogliere le credenziali degli utenti, prendendo spesso di mira account con privilegi elevati.
Una volta entrati nel sistema, eseguono una ricognizione della rete per identificare i sistemi critici e gli archivi di dati utilizzando comandi e strumenti integrati come PowerShell.
Lazarus si muove lateralmente attraverso le reti utilizzando credenziali valide, protocolli desktop remoto (RDP) o sfruttando le relazioni di fiducia tra i sistemi.
I dati sensibili vengono spesso raccolti tramite strumenti quali servizi di condivisione file o malware funzionalità di esfiltrazione personalizzate, che prendono di mira dati finanziari, portafogli di criptovalute e documenti riservati.
Il gruppo utilizza backdoor personalizzate, come Manuscrypt e Destover, per eseguire comandi da remoto e mantenere la persistenza.
I dati rubati vengono sottratti utilizzando server web compromessi, server FTP o canali di comunicazione crittografati per garantire che le informazioni raggiungano la loro infrastruttura di comando e controllo.
Nelle operazioni finanziarie, Lazarus spesso compromette i sistemi dopo il furto, utilizzando malware di tipo wiper malware coprire le proprie tracce. Il gruppo è stato coinvolto in campagne di ransomware e distruzione di dati, amplificando ulteriormente l'impatto sulle vittime.
Come rilevare Lazarus con Vectra AI
Domande frequenti
Per cosa è noto il Gruppo Lazarus?
Il gruppo Lazarus è noto per attività di spionaggio informatico e furti finanziari su larga scala, tra cui l'attacco alla Sony Pictures nel 2014 e la rapina alla Banca del Bangladesh nel 2016.
Cosa motiva il Gruppo Lazarus?
Le loro attività sono guidate dagli interessi dello Stato nordcoreano, tra cui ritorsioni politiche, spionaggio e generazione di risorse finanziarie attraverso attività illecite.
In che modo Lazarus ottiene l'accesso iniziale ai sistemi di destinazione?
Utilizzano spessophishing con allegati o link dannosi per diffondere malware.
Quali sono i settori comunemente presi di mira da Lazarus?
Lazarus prende di mira istituzioni finanziarie, piattaforme di scambio di criptovalute, società di media e agenzie governative.
Quali malware sono associati al gruppo Lazarus?
Sono associati a strumenti quali Manuscrypt, Destover e vari backdoor e wiper personalizzati.
Cosa rende Lazarus Group difficile da individuare?
Lazarus utilizza tecniche avanzate di elusione della difesa, come la disattivazione dei software di sicurezza, l'offuscamento malware e l'uso di canali di comunicazione crittografati.
Che ruolo svolge Lazarus nei reati finanziari?
Il gruppo è coinvolto nel furto di denaro da banche e piattaforme di criptovaluta, oltre che nella conduzione di attacchi ransomware e distruttivi per estorcere denaro alle vittime.
Come possono le organizzazioni individuare le attività del gruppo Lazarus?
Le organizzazioni dovrebbero monitorare le TTP note, quali protocolli anomali a livello di applicazione, uso sospetto di account validi e attività insolite di accesso alle credenziali.
Quali sono alcune misure difensive per contrastare il gruppo Lazarus?
L'implementazione dell'autenticazione a più fattori (MFA), una forte segmentazione della rete, l'applicazione tempestiva delle patch alle vulnerabilità e strumenti avanzati di rilevamento delle minacce possono mitigare i loro attacchi.
Il gruppo Lazarus è stato coinvolto in attacchi ransomware?
Sì, hanno utilizzato ransomware in alcune delle loro campagne per massimizzare i guadagni finanziari e interrompere le attività delle vittime.