Hacker Lazarus: falsi colloqui e attacchi con app VNC

Il gruppo di hacker nordcoreani noto come Lazarus rappresenta uno dei collettivi più attivi a livello mondiale.

A dimostrazione di ciò, una ricerca di Kaspersky ha portato a galla una nuova e inquietante strategia di attacco utilizzata da questi criminali informatici.

I ricercatori, infatti, hanno scoperto che Lazarus utilizza versioni “trojanizzate” delle app Virtual Network Computing (VNC) per prendere di mira il settore della difesa e alcuni ingegneri nucleari. La campagna, nota come Operation Dream Job, sfrutta come vettori i social network (LinkedIn, Telegram e WhatsApp) proponendo falsi colloqui di lavoro.

Secondo Kaspersky “Per evitare il rilevamento da parte di soluzioni di sicurezza basate sul comportamento, questa applicazione backdoor funziona in modo discreto, attivandosi solo quando l’utente seleziona un server dal menu a discesa del client VNC trojanizzato“.

Una volta lanciata dalla vittima, l’app contraffatta è progettata per recuperare ulteriori payload, incluso un noto malware legato al gruppo Lazarus denominato LPEClient, dotato di funzionalità per profilare gli host compromessi.

Un tipo di operazione che non è una novità per Lazarus

Stando ai dati raccolti, la campagna che sfrutta le app VNC spesso tende a distribuire anche una versione aggiornata di COPPERHEDGE, una backdoor nota per l’esecuzione di comandi arbitrari e l’esfiltrazione di dati.

Attraverso quest’ultima backdoor, gli hacker sembrano voler prendere di mira nello specifico le aziende impegnate nella costruzione e gestione di strumenti bellici, come radar, veicoli aerei senza piloti, armi e simili.

Alla fine del mese scorso, ESET ha rivelato i dettagli di un attacco del Gruppo Lazarus rivolto a un’anonima società aerospaziale in Spagna in cui i dipendenti dell’azienda sono stati avvicinati dall’autore della minaccia fingendosi reclutatore per Meta su LinkedIn per fornire un impianto denominato LightlessCan.

Questo collettivo di hacker è solo uno dei tanti programmi offensivi originari della Corea del Nord che sono stati collegati allo spionaggio informatico e ai furti a scopo finanziario e non solo.