Buongiorno cari lettori di Tecnogalaxy, oggi parleremo del Lazarus Group che ha creato un nuovo malware.

Lazarus Group, il famigerato gruppo di hacking con legami con il regime nordcoreano, ha scatenato un nuovo framework di malware multi-piattaforma con l’obiettivo di infiltrarsi in aziende di tutto il mondo, rubare dati dai database dei clienti, e distribuire ransomware.

La creazione di un nuovo malware

Questo gruppo ha creato un malware che è in grado di scegliere target per i sistemi operativi Windows, Linux e MacOS quindi tutti i sistemi operativi per desktop in uso, il framework di malware MATA così chiamato a causa del riferimento degli autori all’infrastruttura come “MataNet”, viene fornito con una vasta gamma di funzionalità progettate per svolgere una varietà di attività dannose su macchine infette.

La campagna di questo malware MATA si dice che ha avuto inizio già da aprile del 2018, con la vittimologia ricondotto a aziende senza nome nello sviluppo di software, e-commerce e servizi internet fornitori di servizi situati in Polonia, Germania, Turchia, Corea, Giappone, e India, questo è quello che ha riferito la multinazionale di sicurezza informatica Kasperky.

Il rapporto offre uno sguardo completo al quadro MATA, mentre anche sulla base di prove precedenti raccolte dai ricercatori di Netlab 360, Jamf, e Malwarebytes nel corso degli ultimi otto mesi.
Loscorso dicembre, Netlab 360 ha rivelato un Trojan di amministrazione remota completamente funzionale (RAT) chiamato Dacls targeting sia le piattaforme Windows e Linux che condividevano l’infrastruttura chiave con quella gestita dal gruppo Lazarus.

La scoperta di Malwarebytes

Nel mese di maggio, Malwarebytes ha scoperto una variante di MacOS RAT che è stata distribuita tramite un app trojanized di autenticazione a due fattori (2FA). Nell’ultimo sviluppo, la versione di Windows di MATA è costituita da un caricatore utilizzato per caricare un payload di fase successiva crittografato – un modulo dell’orchestratore (“lsass.exe“) in grado di caricare 15 plug-in aggiuntivi allo stesso tempo ed eseguirli in memoria.

I plugin stessi sono ricchi di funzionalità, diventando caratteristiche che consentono al malware di manipolare i file e processi di sistema, iniettare DLL, e creare un server proxy HTTP.

I plug-in MATA consentono inoltre agli hacker di indirizzare dispositivi di rete senza disco basati su Linux come router, firewall o dispositivi IoT, e sistemi MacOS mascherandosi come un’app 2FA chiamata TinkaOTP, che si basa su un’applicazione di autenticazione a due fattori open source denominata MinaOTP.

Una volta che i plugin sono stati distribuiti, gli hacker hanno poi cercato di individuare i database della società compromessa ed eseguire diverse query di database per acquisire i dettagli del cliente. Non è chiaro se hanno avuto successo nei loro tentativi. Inoltre, i ricercatori di Kaspersky hanno detto che MATA è stato utilizzato per distribuire VHD ransomware a una vittima anonima.

Kaspersky ha detto che collegato MATA al Gruppo Lazarus basato sul formato di nome file unico trovato nell’orchestratore (“c_2910.cls” e “k_3872.cls”), che è stato precedentemente visto in diverse varianti del Malware manuscrypt.

Lazarus Group (chiamato anche Hidden Cobra o APT38) è stato collegato a molte importanti offensive informatiche, tra cui l’hack Sony Pictures nel 2014, l’hack bancario SWIFT nel 2016, e l’infezione ransomware WannaCry nel 2017.

Più di recentemente, l’APT ha aggiunto lo skimming web al loro repertorio, rivolgendosi ai siti di e-commerce statunitensi ed europei per piantare skimmer di pagamento basati su JavaScript, per questi attacchi nessuno dei malintenzionati ha subito delle conseguenze.

Conclusione

Come sapete la corea del nord è uno stato chiuso, e non ti puoi collegare al hanno un internet occidentale, e che non è connesso con il resto del mondo, loro non ha una rete pubblica e per utilizzare internet bisogna essere delle persone privilegiate, e i computer pubblici si trovano solo nelle biblioteche, quindi questo gruppo è sponsorizzato dallo stato oppure aiutati, comunque questo gruppo sembra pure protetto dal proprio stato per non essere arrestati, questo gruppo quindi è intoccabile se non viene attaccato lo stato in primis, vorrei aggiungere che di recente la corea de nord ha iniziato a reclutare i bambini minorenni, che sono capaci e hanno delle doti ad utilizzare il pc per farli diventare dei propri hacker.

Questo è tutto, ad un prossimo articolo.

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.