Il gruppo di hacker Lazarus, noto per le sue campagne sofisticate, ha recentemente sferrato un attacco contro un’organizzazione nucleare, utilizzando una catena di infezione complessa e nuove varianti di malware, inclusi CookiePlus e MISTPEN. Questa campagna, conosciuta come DeathNote o Operation DreamJob, sfrutta la distribuzione di documenti falsi legati a opportunità lavorative per compromettere i sistemi target.

Un’infezione multistadio: i dettagli dell’attacco

Lazarus ha utilizzato file compressi contenenti versioni trojanizzate di strumenti VNC per accedere ai sistemi delle vittime. Gli archivi includevano:

• AmazonVNC.exe, una versione alterata di TightVNC.
• Un file di testo che conteneva l’IP e la password da utilizzare per collegarsi ai server controllati dagli attaccanti.

L’esecuzione di questi file portava al download di un malware noto come Ranid Downloader, progettato per caricare ulteriori payload nella memoria del sistema compromesso. La catena di infezione comprendeva altri strumenti, come il Charamel Loader e il ServiceChanger, che sfruttavano il side-loading di DLL per avviare software malevoli.

CookiePlus: un malware modulare in evoluzione

Un elemento chiave della campagna è il malware CookiePlus, una versione avanzata del precedente MISTPEN. CookiePlus è stato progettato per agire come downloader di moduli aggiuntivi, con funzionalità avanzate come:

• Download e caricamento di plugin modulari.
• Comunicazione con server C2 utilizzando dati crittografati.
• Mascheramento come plugin open-source legittimi, come quelli di Notepad++ e DirectX-Wrappers.

CookiePlus utilizza algoritmi di crittografia come ChaCha20 e RSA per proteggere la comunicazione e rendere più difficili le analisi da parte dei ricercatori. Il malware è ancora in sviluppo attivo, il che indica che Lazarus potrebbe espandere ulteriormente le sue capacità nei prossimi mesi.

Obiettivi e implicazioni

L’attacco ha colpito almeno due dipendenti di un’organizzazione nucleare, dimostrando la strategia mirata del gruppo. Lazarus sfrutta tecniche avanzate per ottenere un accesso prolungato ai sistemi, muovendosi lateralmente all’interno della rete per diffondere ulteriori malware, come CookieTime e RollMid.

Le infrastrutture di comando e controllo (C2) utilizzate da Lazarus si basano su server compromessi che eseguono WordPress e altri servizi PHP. Questa scelta evidenzia la capacità del gruppo di adattarsi e utilizzare strumenti versatili per eludere i sistemi di sicurezza.

L’attacco di Lazarus al settore nucleare evidenzia l’evoluzione continua delle tecniche di hacking e la crescente complessità delle minacce informatiche. Con strumenti come CookiePlus e una strategia mirata, il gruppo dimostra la sua capacità di aggirare le difese esistenti e compromettere organizzazioni critiche. È essenziale che le aziende rafforzino le loro misure di sicurezza per contrastare minacce sofisticate come quelle di Lazarus.