Il malware NineRAT prende di mira i sistemi che utilizzano le tattiche del gruppo Lazarus Hacker
Cisco Talos ha recentemente scoperto una nuova campagna informatica orchestrata dal Lazarus Group, denominata "Operazione Blacksmith". Questa operazione impiega tre nuove famiglie di malware basate su DLang, di cui due identificate come trojan di accesso remoto (RAT). In particolare, uno di questi RAT utilizza bot e canali di Telegram come mezzo di comunicazione di comando e controllo (C2), guadagnandosi il soprannome di "NineRAT", mentre il RAT non basato su Telegram è etichettato "DLRAT". Inoltre, nell'operazione è stato identificato un downloader basato su DLang noto come "BottomLoader".
Questa scoperta segna un cambiamento significativo nelle tattiche impiegate dal Lazarus Group, un gruppo APT (Advanced Persistent Threat) nordcoreano. Negli ultimi 18 mesi, Cisco Talos ha rivelato tre distinti RAT sviluppati utilizzando tecnologie non convenzionali come QtFramework, PowerBasic e l'aggiunta più recente, DLang.
In particolare, sono stati osservati parallelismi tra l'operazione Blacksmith di Lazarus e le tattiche, tecniche e procedure (TTP) associate al gruppo Onyx Sleet, sponsorizzato dallo stato nordcoreano, riconosciuto anche come gruppo APT Andariel. Andariel è ampiamente considerato un sottogruppo sotto l'egida di Lazarus, con questa campagna che dimostra di prendere di mira in modo opportunistico le imprese globali che espongono infrastrutture vulnerabili allo sfruttamento delle vulnerabilità di n giorni, incluso il noto CVE-2021-44228 (Log4j). Lazarus ha preso di mira specificamente settori come l'industria manifatturiera, l'agricoltura e la sicurezza fisica.
L'operazione Blacksmith prevedeva lo sfruttamento di Log4j e introduceva un RAT basato su DLang precedentemente sconosciuto, NineRAT, che utilizzava Telegram per la comunicazione C2. NineRAT è stato inizialmente costruito intorno a maggio 2022 ed è stato impiegato per la prima volta nella campagna circa un anno dopo, prendendo di mira un’organizzazione agricola sudamericana nel marzo 2023 e un’entità manifatturiera europea nel settembre 2023.
Le analisi di Cisco Talos hanno rivelato una sovrapposizione con gli attacchi dannosi divulgati da Microsoft nell'ottobre 2023, attribuiti a Onyx Sleet. Ciò è in linea con la visione più ampia secondo cui Lazarus APT opera come un’organizzazione ombrello che comprende vari sottogruppi, ciascuno dei quali persegue obiettivi diversi legati alla difesa, alla politica, alla sicurezza nazionale e alla ricerca e sviluppo della Corea del Nord.
Gli utenti di computer colpiti dal malware NineRAT dovrebbero agire utilizzando uno strumento anti-malware non solo per prevenire attacchi futuri ma per eliminare completamente la minaccia.
