La vostra organizzazione è al sicuro dagli attacchi Lazarus?

L'origine del Gruppo Lazarus

Il gruppo Lazarus è attivo dal 2009 circa, con la sua prima grande operazione nota come "Operazione Troy". È responsabile di diversi attacchi informatici di alto profilo, tra cui l'hack di Sony Pictures del 2014, la rapina alla Bangladesh Bank del 2016 e l'attacco ransomware WannaCry del 2017.

A differenza di molti gruppi sponsorizzati dallo Stato, Lazarus è altamente motivato finanziariamente e conduce rapine in banca e furti di criptovalute per sostenere l'economia della Corea del Nord.

Secondo il MITRE, le definizioni dei gruppi di minacce nordcoreane spesso si sovrappongono in modo significativo. Alcuni ricercatori di sicurezza classificano tutte le attività informatiche sponsorizzate dallo Stato nordcoreano sotto il nome di Gruppo Lazarus, piuttosto che distinguere tra gruppi o sottogruppi specifici come Andariel, APT37, APT38 e Kimsuky.

Il gruppo ha utilizzato il nome di Guardians of Peace per l'hacking di Sony, ma è conosciuto anche con altri nomi come Hidden Cobra (dal Dipartimento di Sicurezza Nazionale degli Stati Uniti e dall'FBI), ZINC, NICKEL ACADEMY, Diamond Sleet (da Microsoft) e Labyrinth Chollima (da Crowdstrike).

*Fonte della linea temporale:* *Trend Micro*

Paesi interessati da Lazarus

Le operazioni del gruppo sono state rintracciate a livello globale, con attività confermate negli Stati Uniti, nella Corea del Sud, in India, in Bangladesh e nella più ampia regione dell'Asia-Pacifico. Il gruppo ha preso di mira anche entità in Europa e in Medio Oriente. Lazarus è noto per aver preso di mira Paesi coinvolti in sanzioni economiche o dispute diplomatiche con la Corea del Nord.

Settori interessati dal Gruppo Lazarus

Il Gruppo Lazarus ha mostrato un profilo di obiettivi diversificato, che comprende agenzie governative, istituzioni finanziarie, appaltatori della difesa, borse di criptovalute e società di media. Le motivazioni variano dallo spionaggio politico al furto finanziario, con particolare attenzione ai settori che possono generare fondi per il regime nordcoreano o fornire informazioni sensibili.

Vittime di Lazzaro

Tra le vittime degne di nota figurano Sony Pictures (2014), Bangladesh Bank (2016) e varie borse di criptovalute. La loro attività nel settore finanziario, in particolare attraverso l'uso di malware distruttivo e di rapine, ha causato milioni di danni. Il gruppo ha anche condotto campagne di spionaggio informatico contro istituzioni sudcoreane.

Metodo di attacco

Il metodo di attacco del Gruppo Lazarus

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Lazarus utilizza spesso campagne di spearphishing per ottenere l'accesso iniziale, spesso utilizzando allegati o link dannosi che forniscono malware personalizzato.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Dopo aver ottenuto l'accesso, utilizzano strumenti come rootkit o malware personalizzati per elevare i privilegi e penetrare più a fondo nelle reti.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo è abile nell'eludere le misure di sicurezza utilizzando tecniche come la disabilitazione del software di sicurezza, l'utilizzo di certificati rubati o lo sfruttamento delle vulnerabilità del sito zero-day .

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Lazarus utilizza keylogger, strumenti per il dumping delle credenziali ed exploit per raccogliere le credenziali degli utenti, spesso prendendo di mira gli account con privilegi elevati.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Una volta entrati in un sistema, eseguono una ricognizione della rete per identificare i sistemi critici e i depositi di dati utilizzando comandi integrati e strumenti come PowerShell.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Lazarus si muove lateralmente attraverso le reti utilizzando credenziali valide, protocolli di desktop remoto (RDP) o sfruttando le relazioni di fiducia tra i sistemi.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

I dati sensibili vengono spesso raccolti attraverso strumenti come i servizi di file-sharing o malware con capacità di esfiltrazione personalizzate, che mirano a dati finanziari, portafogli di criptovalute e documenti riservati.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il gruppo utilizza backdoor personalizzate, come Manuscrypt e Destover, per eseguire comandi in remoto e mantenere la persistenza.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

I dati rubati vengono esfiltrati utilizzando server web, server FTP o canali di comunicazione criptati compromessi per garantire che le informazioni raggiungano la loro infrastruttura di comando e controllo.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Nelle operazioni finanziarie, Lazarus spesso interrompe i sistemi dopo il furto, utilizzando il wiper malware per coprire le proprie tracce. Sono stati coinvolti in campagne di ransomware e distruzione di dati, amplificando ulteriormente l'impatto sulle vittime.

Accesso iniziale

Lazarus utilizza spesso campagne di spearphishing per ottenere l'accesso iniziale, spesso utilizzando allegati o link dannosi che forniscono malware personalizzato.

Escalation dei privilegi

Dopo aver ottenuto l'accesso, utilizzano strumenti come rootkit o malware personalizzati per elevare i privilegi e penetrare più a fondo nelle reti.

Difesa Evasione

Il gruppo è abile nell'eludere le misure di sicurezza utilizzando tecniche come la disabilitazione del software di sicurezza, l'utilizzo di certificati rubati o lo sfruttamento delle vulnerabilità del sito zero-day .

Accesso alle credenziali

Lazarus utilizza keylogger, strumenti per il dumping delle credenziali ed exploit per raccogliere le credenziali degli utenti, spesso prendendo di mira gli account con privilegi elevati.

Scoperta

Una volta entrati in un sistema, eseguono una ricognizione della rete per identificare i sistemi critici e i depositi di dati utilizzando comandi integrati e strumenti come PowerShell.

Movimento laterale

Lazarus si muove lateralmente attraverso le reti utilizzando credenziali valide, protocolli di desktop remoto (RDP) o sfruttando le relazioni di fiducia tra i sistemi.

Collezione

I dati sensibili vengono spesso raccolti attraverso strumenti come i servizi di file-sharing o malware con capacità di esfiltrazione personalizzate, che mirano a dati finanziari, portafogli di criptovalute e documenti riservati.

Esecuzione

Il gruppo utilizza backdoor personalizzate, come Manuscrypt e Destover, per eseguire comandi in remoto e mantenere la persistenza.

Esfiltrazione

I dati rubati vengono esfiltrati utilizzando server web, server FTP o canali di comunicazione criptati compromessi per garantire che le informazioni raggiungano la loro infrastruttura di comando e controllo.

Impatto

Nelle operazioni finanziarie, Lazarus spesso interrompe i sistemi dopo il furto, utilizzando il wiper malware per coprire le proprie tracce. Sono stati coinvolti in campagne di ransomware e distruzione di dati, amplificando ulteriormente l'impatto sulle vittime.

MITRE ATT&CK Mappatura

TA0001: Initial Access

No items found.

TA0002: Execution

No items found.

TA0003: Persistence

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1218

System Binary Proxy Execution

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

No items found.

TA0040: Impact

T1490

Inhibit System Recovery

Rilevamenti della piattaforma

Come rilevare Lazarus con Vectra AI

File Share Enumeration

Hidden HTTPS Tunnel

Privilege Anomaly: Unusual Account on Host

Suspicious Port Sweep

Visualizza altri rilevamenti

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Per cosa è noto il Gruppo Lazarus?

Lazarus Group è noto per lo spionaggio informatico e i furti finanziari su larga scala, tra cui l'attacco a Sony Pictures del 2014 e la rapina alla Bangladesh Bank del 2016.

Cosa motiva il Gruppo Lazarus?

Le loro attività sono guidate dagli interessi dello Stato nordcoreano, tra cui la ritorsione politica, lo spionaggio e la generazione di risorse finanziarie attraverso attività illecite.

Come fa Lazarus a ottenere l'accesso iniziale ai sistemi di destinazione?

Spesso utilizzano campagne di spearphishing con allegati o link dannosi per distribuire malware.

Quali sono i settori comunemente presi di mira da Lazarus?

Lazarus si rivolge a istituzioni finanziarie, scambi di criptovalute, società di media e agenzie governative.

Quali strumenti di malware sono associati al Gruppo Lazarus?

Sono associati a strumenti come Manuscrypt, Destover e vari backdoor e wipers personalizzati.

Cosa rende il Gruppo Lazarus difficile da individuare?

Lazarus utilizza tecniche avanzate di elusione della difesa, come la disabilitazione del software di sicurezza, l'offuscamento di malware e l'utilizzo di canali di comunicazione criptati.

Che ruolo ha Lazarus nei crimini finanziari?

Il gruppo è coinvolto nel furto di denaro dalle banche e dalle piattaforme di criptovaluta, oltre a condurre attacchi ransomware e distruttivi per estorcere le vittime.

Come possono le organizzazioni rilevare le attività del Gruppo Lazarus?

Le organizzazioni devono monitorare i TTP noti, come i protocolli anomali del livello applicativo, l'uso sospetto di account validi e le attività insolite di accesso alle credenziali.

Quali sono le misure difensive per contrastare il Gruppo Lazarus?

L'implementazione dell'autenticazione a più fattori (MFA), di una forte segmentazione della rete, di patch tempestive delle vulnerabilità e di strumenti avanzati di rilevamento delle minacce possono mitigare i loro attacchi.

Il Gruppo Lazarus è stato coinvolto in attacchi ransomware?

Sì, hanno utilizzato il ransomware in alcune delle loro campagne per massimizzare il guadagno finanziario e interrompere le operazioni delle vittime.

La vostra organizzazione è al sicuro dagli attacchi Lazarus?

Valutare l'esposizione agli attacchi