Exploit che funziona non si cambia. Il noto gruppo hacker nordcoreano Lazarus è tornato a far parlare di sé sfruttando un exploit conosciuto da ben due anni, ovvero CVE-2021-44228, conosciuto più comunemente come Log4j.
Nonostante la vulnerabilità sia nota da tempo, i cybercriminali hanno avuto un approccio “moderno” andando a distribuire ben tre famiglie di malware proprio per sfruttare l’exploit. Stiamo parlando di due trojan di accesso remoto (RAT) battezzati NineRAT e DLRAT e di un downloader, conosciuto come BottomLoader.
Gli agenti malevoli in questione sono state realizzate in Dlang, un linguaggio di programmazione che di solito non viene utilizzato nel contesto del cybercrimine. Questo tipo di comportamento potrebbe essere un modo di Lazarus per “testare” nuove soluzioni anti-rilevamento nel contesto delle sue numerose operazioni.
Giusto qualche giorno fa la stessa Microsoft aveva avvertito gli utenti rispetto alle numerose campagne portate avanti dal gruppo di cybercriminali nordcoreani.
Ancora Log4j a due anni di distanza: NineRAT di Lazarus preoccupa gli esperti
La campagna malware, individuata da Cisco Talos, sembra essere iniziata lo scorso mese di marzo. Stando ai dati raccolti dagli esperti, i principali obiettivi di Lazarus sarebbero soprattutto aziende manifatturiere e agricole.
Ad allarmare i ricercatori di Cisco Talos sarebbe, nello specifico, il comportamento di NineRAT. Questo, infatti, lavora con una tecnica nota come re-fingerprinting. Di fatto, si tratta dell’identificazione del sistema colpito e della raccolta dati, il tutto per un futuro sfruttamento ulteriore della vittima da parte di Lazarus o di altri gruppi affiliati.
D’altro canto desta anche una certa sorpresa il fatto che Log4j, a due anni di distanza dalla sua scoperta, offra ancora una crepa in cui riescono ad infiltrarsi gli hacker. Nel 2021 Log4j a quasi 5 milioni di tentativi di aggressione (con un numero elevato registrato anche nel nostro paese), dimostrandosi come una delle minacce online più temibili dell’intera annata.