Il gruppo APT (Advanced Persistent Threat) Lazarus sta espandendo il raggio d’azione dei suoi attacchi e ha preso di mira anche aziende in Europa, compresa l’Italia: identificati attacchi con la backdoor DTrack nei confronti di società italiane.
A mettere in guardia sono gli esperti di Kaspersky che hanno identificato due attacchi in Italia in cui DTrack è stato utilizzato come backdoor, tra cui uno nei confronti di un’azienda del settore dei provider di servizi IT.
Il gruppo Lazarus, attivo almeno dal 2009 e responsabile di attacchi di cyber spionaggio, cyber sabotaggio e ransomware, inizialmente si è concentrato sull’attuazione di quella che sembrava essere un’agenda geopolitica, prendendo di mira soprattutto la Corea del Sud. Di recente, tuttavia, si è spostato su obiettivi globali e ha iniziato a eseguire attacchi anche a scopo di lucro.
Attualmente gli attacchi sono diretti anche ad aziende europee. In questo contesto, gli esperti di Kaspersky hanno identificato i due attacchi contro aziende italiane mentre altri obiettivi in Europa includono aziende in Germania e in Svizzera.
La backdoor DTrack è stata scoperta nel 2019 e non è cambiata significativamente nel tempo. DTrack si nasconde in un eseguibile che sembra un programma legittimo, e presenta diverse fasi di decifrazione prima che il payload del malware si attivi. La novità è una modifica che riguarda un terzo livello di crittografia aggiunto in alcuni nuovi campioni di malware.
L’analisi di Kaspersky mostra che Lazarus utilizza la backdoor per una serie di attacchi a scopo di lucro. Consente ai criminali informatici di caricare, scaricare, lanciare o eliminare file sull’host della vittima. Uno dei file scaricati ed eseguiti già scoperti come parte del set di strumenti comuni di DTrack è un keylogger, oltre a un creatore di screenshot e a un modulo per raccogliere le informazioni sul sistema della vittima. Nel complesso, questo set di strumenti può aiutare i criminali informatici a effettuare movimenti laterali nell’infrastruttura della vittima, ad esempio per recuperare informazioni.
Secondo la telemetria di Kaspersky Security Network, DTrack è attivo in Germania, Brasile, India, Italia, Messico, Svizzera, Arabia Saudita, Turchia e negli Stati Uniti. Lazarus sta quindi ampliando la tipologia delle vittime.
Le aziende prese di mira comprendono parti di infrastrutture critiche come l’istruzione, la lavorazione dei prodotti chimici, i centri di ricerca governativi e i ministeri politici, i fornitori di servizi informatici, le utility e le telecomunicazioni.