Un nuovo pericolosissimo virus è stato rilasciato in rete: ecco chi sono gli hacker che lo hanno elaborato e chi vogliono colpire.
Lavorano diuturnamente i criminali informatici. Non c’è giorno, infatti, in cui non si abbia notizia del rilascio di pericolosi malware e virus che possono incidere sulla vita di tutti noi. Ecco l’ultima minaccia, appena scoperta da chi si spende quotidianamente contro le attività criminose degli hacker.
Sappiamo bene, infatti, che, ormai, la maggior parte dei crimini si svolgono sul web. In particolare, elaborando virus e malware, gli hacker vogliono violare i sistemi di sicurezza delle Istituzioni. Ma anche rubare informazioni, di soggetti pubblici e di soggetti privati. Con l’obiettivo di poterli ricattare (e, quindi, intascare soldi) o con l’altrettanto lucrosa operazione di vendita sul dark web. Ecco l’ultima minaccia appena scoperta.
Nuovo pericolosissimo virus
Il gruppo di hacker nordcoreano Lazarus avrebbe rilasciato un trojan di accesso remoto precedentemente non documentato e un downloader di malware che sfruttano la vulnerabilità Log4Shell. I ricercatori di Cisco Talos, che da sempre lottano contro i criminali informatici, hanno il merito di aver scoperto la nuova campagna, soprannominata Operazione Blacksmith.
Il gruppo, attivo dal 2010 circa, finora ha una vasta gamma di obiettivi, tra cui governo, difesa, finanza, media, sanità e infrastrutture critiche. Talos afferma che gli obiettivi variano e includono lo spionaggio, il furto di dati e il guadagno finanziario per sostenere gli obiettivi statali.
Gli analisti notano l’uso di DLang, un linguaggio di programmazione non tipicamente utilizzato negli attacchi che avrebbe potuto aiutare il gruppo a rimanere sotto il radar fino ad ora. La descrizione di vulnerabilità recita: “Un utente malintenzionato che può controllare i messaggi di registro o i parametri dei messaggi di registro può eseguire codice arbitrario caricato dai server LDAP quando la sostituzione della ricerca dei messaggi è abilitata.”
Il malware è costituito da una coppia di RAT denominati NineRAT e DLRAT dal gruppo di sicurezza informatica. Il primo utilizza bot e canali di Telegram come mezzo di comunicazione C2. Il terzo è un downloader, chiamato BottomLoader. Si ritiene che NineRAT sia stato sviluppato intorno a maggio 2023 prima di essere utilizzato nell’operazione Blacksmith più tardi nel marzo 2023 contro un’organizzazione agricola sudamericana. Individuato nuovamente nel settembre 2023, prendendo di mira un’entità manifatturiera europea.
L’operazione Blacksmith continua a prendere di mira opportunisticamente le imprese globali che operano pubblicamente ed espongono le loro infrastrutture vulnerabili allo sfruttamento di queste voragini. La vulnerabilità è stata scoperta da un membro dell’Alibaba Cloud Security Team e da allora è stata risolta. Se non altro, l’attacco di Lazarus evidenzia la criticità dell’applicazione urgente degli aggiornamenti di sicurezza a tutti i dispositivi connessi a Internet.