Attraverso false offerte di lavoro pubblicate su LinkedIn, gli hacker di Lazarus Group cercano di indurre le vittime a eseguire codice dannoso e a rubare criptovaluta.
Un segnalare recentemente pubblicato dalla società di sicurezza F-Secure, dettagli che il gruppo di hacker noto come Gruppo Lazzaro sta sferrando un attacco attraverso la rete aziendale LinkedIn, per ingannare utenti chiave e ignari con un'offerta di lavoro falsa che mira solo a rubare i loro criptovalute. Secondo il rapporto, il modus operandi di Lazarus Group consiste in una campagna di phishing per promuovere una falsa offerta di lavoro all'interno di un'azienda blockchain tramite LinkedIn. Tale offerta di lavoro contiene un documento che, una volta scaricato e aperto, esegue un codice dannoso che consente agli hacker di ottenere le credenziali di accesso e di accesso alla rete delle vittime, dati con cui possono eventualmente accedere ai sistemi in cui sono archiviate le criptovalute.
L'attacco prende di mira il exchanges, case di custodia e altre organizzazioni verticali di criptovaluta. Ad esempio, nell’ultimo e più recente attacco del Lazarus Group, gli hacker hanno preso di mira un amministratore di sistema di un importante scambio, che ha ricevuto un’offerta di lavoro attraverso la rete LinkedIn.
Secondo il rapporto di F-Secure, la falsa offerta di lavoro indicava esattamente le esatte conoscenze, competenze e capacità possedute dalla vittima e conteneva anche un documento verbale che descriveva ulteriori informazioni sull'offerta di lavoro. Allo stesso modo, l'offerta indicava che il documento era protetto dalla Legge generale sulla protezione dei dati dell'Unione Europea (GPDR), ha quindi chiesto alla vittima di abilitare le macro per poter visualizzare l'intero documento, cosa che così facendo ha permesso l'installazione di un VBScript all'interno del dispositivo in modo che gli hacker potessero controllare le connessioni a diversi server di comando compromessi supervisionati da Lazarus Group .
Si può essere interessati: Minatori trovati nascosti nei servizi Amazon
Campagne di phishing rivolte agli amministratori di importanti aziende e organizzazioni
Lazarus Group è uno dei più grandi gruppi di hacker al mondo legati alla Corea del Nord e ha condotto attacchi a diversi importanti settori e aziende. Oltre al recente attacco alle società di criptovaluta, Lazarus Group sta utilizzando anche strategie di phishing per prendere di mira i dipendenti chiave dell’industria aerospaziale e delle organizzazioni di difesa statunitensi.
McAfee y Cielo sereno ha emesso rapporti che rivelano che questo gruppo di hacker sta approfittando di tecniche di attacco simili a quelle utilizzate tramite LinkedIn contro l'amministratore dello scambio di criptovaluta, per compromettere gli utenti e i loro dispositivi e accedere a informazioni riservate.
“Le tecniche, tattiche e procedure (TTP) dell’attività 2020 sono molto simili alle campagne precedenti che operano con lo stesso modus operandi che abbiamo osservato nel 2017 e nel 2019.”
La campagna di phishing portata avanti da questo gruppo Lazarus è iniziata nel 2018 con diversi incidenti nei paesi Cina, Stati Uniti, Regno Unito, Canada, Germania, Russia, Corea del Sud, Argentina, Singapore, Hong Kong, Paesi Bassi, Estonia, Giappone e Filippine, secondo il rapporto F-Secure.
Come funziona l'attacco phishing del Gruppo Lazarus?
Come accennato all'inizio, la falsa offerta di lavoro comunica alle vittime che il documento informativo è protetto dalla legge europea sulla protezione dei dati, quindi la vittima deve abilitare le macro per visualizzare il documento. Tuttavia, quando le macro sono abilitate, il documento esegue codice dannoso che raccoglie ed estrae informazioni sensibili dal dispositivo compromesso, inviandole agli aggressori. Queste informazioni consentono agli hacker di "scaricare file aggiuntivi, decomprimere dati in memoria, avviare comunicazioni C2, eseguire comandi arbitrari e rubare credenziali da varie fonti" e molto altro ancora.
A causa dell'abilità che possiede questo gruppo di hacker, Lazarus Group rappresenta una minaccia continua per la società e le organizzazioni, motivo per cui l'azienda di sicurezza invita gli utenti a essere consapevoli dei possibili attacchi di cui potrebbero essere vittime, nonché le aziende e le imprese e le organizzazioni a essere consapevoli della necessità di aumentare la sicurezza e la sorveglianza continua dei propri spazi, che rappresentano un obiettivo specifico per questo gruppo pericoloso.
Informazioni sul gruppo Lazarus
Si stima che questo gruppo di hacker sia stato formato nel 2007 in Corea del Nord per attaccare istituzioni governative, bancarie, finanziarie e militari, nonché industrie di diversi settori, come società di comunicazione, intrattenimento, compagnie di navigazione, blockchain e molto altro . Secondo a segnalare emesso dal Dipartimento del Tesoro degli Stati Uniti, Lazarus Group utilizza tecniche di spionaggio informatico, furto di dati, furto di denaro e operazioni distruttive tramite malware per dirigere operazioni informatiche dannose.
Questo gruppo è coinvolto in diverse rapine ai danni di banche commerciali e di uffici di cambio valuta, come il furto di 81 milioni di dollari da parte di Banca del Bangladesh nel 2016. Allo stesso modo, il Dipartimento del Tesoro degli Stati Uniti stima che Lazarus Group abbia rubato più di 570 milioni di dollari tra il 2017 e il 2018 per fornirli al governo nordcoreano.
Continua a leggere: Sicurezza: diversi scambi presentano vulnerabilità che mettono a rischio i fondi degli utenti
