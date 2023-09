Gli autori di minacce associati alla Corea del Nord hanno utilizzato un bug zero-day nel software non divulgato per infiltrarsi nella comunità della sicurezza informatica. Il Threat Analysis Group (TAG) di Google ha scoperto questo attacco in corso, in cui l'avversario crea account falsi su piattaforme di social media come X e Mastodon per stabilire relazioni e guadagnare fiducia con potenziali obiettivi.

Gli aggressori intrattengono lunghe conversazioni con ricercatori di sicurezza e alla fine spostano la comunicazione su app di messaggistica crittografate come Signal, WhatsApp o Wire. Attraverso tattiche di ingegneria sociale, introducono un file dannoso contenente almeno una vulnerabilità zero-day nei software più diffusi. La vulnerabilità è attualmente in fase di risoluzione.

Il carico utile dell'attacco comprende il controllo anti-macchina virtuale (VM) e la raccolta di informazioni dalla macchina infetta, incluso uno screenshot, che viene poi ritrasmessa al server controllato dall'aggressore.

Questa non è la prima volta che gli attori nordcoreani utilizzano esche a tema collaborativo per infettare le vittime. In una precedente campagna npm, gli aggressori hanno utilizzato personaggi falsi per prendere di mira il settore della sicurezza informatica. Hanno convinto gli obiettivi a clonare ed eseguire contenuti da un repository GitHub.

Ulteriori indagini di Google TAG hanno anche rivelato uno strumento Windows chiamato “GetSymbol”, sviluppato dagli aggressori e ospitato su GitHub, che fungeva da potenziale vettore di infezione secondaria.

Questo recente attacco è in linea con le attività di altri autori di minacce nordcoreane. L'AhnLab Security Emergency Response Center (ASEC) ha scoperto che ScarCruft, un attore statale nordcoreano, sta utilizzando file LNK come esche nelle e-mail di phishing per distribuire una backdoor in grado di raccogliere dati sensibili.

È stato anche notato che gli autori delle minacce nordcoreane hanno preso di mira il governo russo e l’industria della difesa fornendo sostegno alla Russia nel suo conflitto con l’Ucraina. Inoltre, Lazarus Group, un altro attore nordcoreano, è stato implicato nel furto di 41 milioni di dollari in valuta virtuale da un casinò online e da una piattaforma di scommesse.

Queste operazioni informatiche effettuate dagli autori delle minacce nordcoreane mirano a raccogliere informazioni su presunti avversari, raccogliere informazioni sulle capacità militari di altri paesi e accumulare fondi in criptovaluta per lo Stato.

