ThreatNeedle Malware

Il malware ThreatNeedle è una minaccia backdoor che i ricercatori di infosec hanno osservato essere parte del minaccioso arsenale del gruppo ATP (Advanced Persistent Threat) nordcoreano chiamato Lazarus (noto anche come APT38 e Hidden Cobra). La prima volta che questo particolare malware è stato implementato in un attacco attivo è stato nel 2018, quando Lazarus ha preso di mira uno scambio di criptovaluta di Hong Kong e uno sviluppatore di giochi per dispositivi mobili.

Nella loro ultima operazione, gli hacker sono tornati ancora una volta a utilizzare il malware ThreatNeedle. Questa volta, la campagna di attacco è rivolta a obiettivi dell'industria della difesa situati in oltre una dozzina di paesi sparsi in tutto il mondo. Per infiltrarsi tra gli obiettivi selezionati, Lazarus utilizza uno schema di spear phishing finemente elaborato. Gli hacker raccolgono informazioni sui social media su un dipendente selezionato e quindi inviano un messaggio di posta elettronica personalizzato progettato per apparire come se fosse stato inviato dall'organizzazione del dipendente. L'e-mail contiene un documento Word contenente malware o un collegamento a un server remoto sotto il controllo degli hacker. L'apertura del documento o il clic sul collegamento avvia la prima parte di una catena di attacchi in più fasi.

Durante questa fase dell'attacco, Lazarus conduce principalmente la ricognizione iniziale, quindi viene determinato se l'attacco verrà intensificato rilasciando malware aggiuntivo sul sistema compromesso e iniziando a spostarsi lateralmente attraverso la rete interna. ThreatNeedle consente agli hacker di ottenere il pieno controllo del sistema, eseguire comandi arbitrari, manipolare i file e i sistemi di directory, raccogliere ed estrarre dati, controllare i processi backdoor e forzare il dispositivo infetto a entrare in ibernazione o in modalità di sospensione.

L'aspetto più minaccioso di quest'ultima operazione portata avanti da Lazarus è la capacità degli hacker di superare la segmentazione della rete. Ciò significa che anche se l'organizzazione target ha suddiviso la propria rete interna in una parte connessa alla rete Internet pubblica e in una sezione isolata. La violazione viene condotta assumendo il controllo di un dispositivo router interno e configurandolo in modo che funga da server proxy. Gli aggressori possono quindi esfiltrare i dati raccolti dalla rete Intranet al loro server remoto.