Gruppo Lazarus
Il Gruppo Lazarus è un gruppo di Advanced Persistent Threat (APT) sponsorizzato dallo Stato nordcoreano.
L'origine del Gruppo Lazarus
Il gruppo Lazarus è attivo dal 2009 circa, con la sua prima grande operazione nota come "Operazione Troy". È responsabile di diversi attacchi informatici di alto profilo, tra cui l'hack di Sony Pictures del 2014, la rapina alla Bangladesh Bank del 2016 e l'attacco ransomware WannaCry del 2017.
A differenza di molti gruppi sponsorizzati dallo Stato, Lazarus è altamente motivato finanziariamente e conduce rapine in banca e furti di criptovalute per sostenere l'economia della Corea del Nord.
Secondo il MITRE, le definizioni dei gruppi di minacce nordcoreane spesso si sovrappongono in modo significativo. Alcuni ricercatori di sicurezza classificano tutte le attività informatiche sponsorizzate dallo Stato nordcoreano sotto il nome di Gruppo Lazarus, piuttosto che distinguere tra gruppi o sottogruppi specifici come Andariel, APT37, APT38 e Kimsuky.
Il gruppo ha utilizzato il nome di Guardians of Peace per l'hacking di Sony, ma è conosciuto anche con altri nomi come Hidden Cobra (dal Dipartimento di Sicurezza Nazionale degli Stati Uniti e dall'FBI), ZINC, NICKEL ACADEMY, Diamond Sleet (da Microsoft) e Labyrinth Chollima (da Crowdstrike).
Fonte della linea temporale: Trend Micro
Obiettivi
Obiettivi di Lazarus
Paesi interessati da Lazarus
Le operazioni del gruppo sono state rintracciate a livello globale, con attività confermate negli Stati Uniti, nella Corea del Sud, in India, in Bangladesh e nella più ampia regione dell'Asia-Pacifico. Il gruppo ha preso di mira anche entità in Europa e in Medio Oriente. Lazarus è noto per aver preso di mira Paesi coinvolti in sanzioni economiche o dispute diplomatiche con la Corea del Nord.
Settori interessati dal Gruppo Lazarus
Il Gruppo Lazarus ha mostrato un profilo di obiettivi diversificato, che comprende agenzie governative, istituzioni finanziarie, appaltatori della difesa, borse di criptovalute e società di media. Le motivazioni variano dallo spionaggio politico al furto finanziario, con particolare attenzione ai settori che possono generare fondi per il regime nordcoreano o fornire informazioni sensibili.
Settori interessati dal Gruppo Lazarus
Il Gruppo Lazarus ha mostrato un profilo di obiettivi diversificato, che comprende agenzie governative, istituzioni finanziarie, appaltatori della difesa, borse di criptovalute e società di media. Le motivazioni variano dallo spionaggio politico al furto finanziario, con particolare attenzione ai settori che possono generare fondi per il regime nordcoreano o fornire informazioni sensibili.
Vittime di Lazzaro
Tra le vittime degne di nota figurano Sony Pictures (2014), Bangladesh Bank (2016) e varie borse di criptovalute. La loro attività nel settore finanziario, in particolare attraverso l'uso di malware distruttivo e di rapine, ha causato milioni di danni. Il gruppo ha anche condotto campagne di spionaggio informatico contro istituzioni sudcoreane.
Metodo di attacco
Il metodo di attacco del Gruppo Lazarus
Lazarus utilizza spesso campagne di spearphishing per ottenere l'accesso iniziale, spesso utilizzando allegati o link dannosi che forniscono malware personalizzato.
Dopo aver ottenuto l'accesso, utilizzano strumenti come rootkit o malware personalizzati per elevare i privilegi e penetrare più a fondo nelle reti.
Il gruppo è abile nell'eludere le misure di sicurezza utilizzando tecniche come la disabilitazione del software di sicurezza, sfruttando certificati rubati o sfruttando vulnerabilità zero-day.
Lazarus utilizza keylogger, strumenti per il dumping delle credenziali ed exploit per raccogliere le credenziali degli utenti, spesso prendendo di mira gli account con privilegi elevati.
Una volta entrati in un sistema, eseguono una ricognizione della rete per identificare i sistemi critici e i depositi di dati utilizzando comandi integrati e strumenti come PowerShell.
Lazarus si muove lateralmente attraverso le reti utilizzando credenziali valide, protocolli di desktop remoto (RDP) o sfruttando le relazioni di fiducia tra i sistemi.
I dati sensibili vengono spesso raccolti attraverso strumenti come i servizi di file-sharing o malware con capacità di esfiltrazione personalizzate, che mirano a dati finanziari, portafogli di criptovalute e documenti riservati.
Il gruppo utilizza backdoor personalizzate, come Manuscrypt e Destover, per eseguire comandi in remoto e mantenere la persistenza.
I dati rubati vengono esfiltrati utilizzando server web, server FTP o canali di comunicazione criptati compromessi per garantire che le informazioni raggiungano la loro infrastruttura di comando e controllo.
Nelle operazioni finanziarie, Lazarus spesso interrompe i sistemi dopo il furto, utilizzando il wiper malware per coprire le proprie tracce. Sono stati coinvolti in campagne di ransomware e distruzione di dati, amplificando ulteriormente l'impatto sulle vittime.
Accesso iniziale
Lazarus utilizza spesso campagne di spearphishing per ottenere l'accesso iniziale, spesso utilizzando allegati o link dannosi che forniscono malware personalizzato.
Escalation dei privilegi
Dopo aver ottenuto l'accesso, utilizzano strumenti come rootkit o malware personalizzati per elevare i privilegi e penetrare più a fondo nelle reti.
Difesa Evasione
Il gruppo è abile nell'eludere le misure di sicurezza utilizzando tecniche come la disabilitazione del software di sicurezza, sfruttando certificati rubati o sfruttando vulnerabilità zero-day.
Accesso alle credenziali
Lazarus utilizza keylogger, strumenti per il dumping delle credenziali ed exploit per raccogliere le credenziali degli utenti, spesso prendendo di mira gli account con privilegi elevati.
Scoperta
Una volta entrati in un sistema, eseguono una ricognizione della rete per identificare i sistemi critici e i depositi di dati utilizzando comandi integrati e strumenti come PowerShell.
Movimento laterale
Lazarus si muove lateralmente attraverso le reti utilizzando credenziali valide, protocolli di desktop remoto (RDP) o sfruttando le relazioni di fiducia tra i sistemi.
Collezione
I dati sensibili vengono spesso raccolti attraverso strumenti come i servizi di file-sharing o malware con capacità di esfiltrazione personalizzate, che mirano a dati finanziari, portafogli di criptovalute e documenti riservati.
Esecuzione
Il gruppo utilizza backdoor personalizzate, come Manuscrypt e Destover, per eseguire comandi in remoto e mantenere la persistenza.
Esfiltrazione
I dati rubati vengono esfiltrati utilizzando server web, server FTP o canali di comunicazione criptati compromessi per garantire che le informazioni raggiungano la loro infrastruttura di comando e controllo.
Impatto
Nelle operazioni finanziarie, Lazarus spesso interrompe i sistemi dopo il furto, utilizzando il wiper malware per coprire le proprie tracce. Sono stati coinvolti in campagne di ransomware e distruzione di dati, amplificando ulteriormente l'impatto sulle vittime.
MITRE ATT&CK Mappatura
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Rilevamenti della piattaforma
Come rilevare Lazarus con Vectra AI
DOMANDE FREQUENTI
Per cosa è noto il Gruppo Lazarus?
Lazarus Group è noto per lo spionaggio informatico e i furti finanziari su larga scala, tra cui l'attacco a Sony Pictures del 2014 e la rapina alla Bangladesh Bank del 2016.
Cosa motiva il Gruppo Lazarus?
Le loro attività sono guidate dagli interessi dello Stato nordcoreano, tra cui la ritorsione politica, lo spionaggio e la generazione di risorse finanziarie attraverso attività illecite.
Come fa Lazarus a ottenere l'accesso iniziale ai sistemi di destinazione?
Spesso utilizzano campagne di spearphishing con allegati o link dannosi per distribuire malware.
Quali sono i settori comunemente presi di mira da Lazarus?
Lazarus si rivolge a istituzioni finanziarie, scambi di criptovalute, società di media e agenzie governative.
Quali strumenti di malware sono associati al Gruppo Lazarus?
Sono associati a strumenti come Manuscrypt, Destover e vari backdoor e wipers personalizzati.
Cosa rende il Gruppo Lazarus difficile da individuare?
Lazarus utilizza tecniche avanzate di elusione della difesa, come la disabilitazione del software di sicurezza, l'offuscamento di malware e l'utilizzo di canali di comunicazione criptati.
Che ruolo ha Lazarus nei crimini finanziari?
Il gruppo è coinvolto nel furto di denaro dalle banche e dalle piattaforme di criptovaluta, oltre a condurre attacchi ransomware e distruttivi per estorcere le vittime.
Come possono le organizzazioni rilevare le attività del Gruppo Lazarus?
Le organizzazioni devono monitorare i TTP noti, come i protocolli anomali del livello applicativo, l'uso sospetto di account validi e le attività insolite di accesso alle credenziali.
Quali sono le misure difensive per contrastare il Gruppo Lazarus?
L'implementazione dell'autenticazione a più fattori (MFA), di una forte segmentazione della rete, di patch tempestive delle vulnerabilità e di strumenti avanzati di rilevamento delle minacce possono mitigare i loro attacchi.
Il Gruppo Lazarus è stato coinvolto in attacchi ransomware?
Sì, hanno utilizzato il ransomware in alcune delle loro campagne per massimizzare il guadagno finanziario e interrompere le operazioni delle vittime.