Lazarus, nuovi malware per prendere ancora di mira l'exploit Log4j

Log4j ancora preso di mira: NineRAT, DLRAT e BottomLoader sfruttati dagli hacker di Lazarus per sfruttare nuovamente la vulnerabilità.
Marco Ponteprino
Pubblicato il 12 dic 2023
Lazarus, nuovi malware per prendere ancora di mira l'exploit Log4j
Pixabay

Exploit che funziona non si cambia. Il noto gruppo hacker nordcoreano Lazarus è tornato a far parlare di sé sfruttando un exploit conosciuto da ben due anni, ovvero CVE-2021-44228, conosciuto più comunemente come Log4j.

Nonostante la vulnerabilità sia nota da tempo, i cybercriminali hanno avuto un approccio “moderno” andando a distribuire ben tre famiglie di malware proprio per sfruttare l’exploit. Stiamo parlando di due trojan di accesso remoto (RAT) battezzati NineRAT e DLRAT e di un downloader, conosciuto come BottomLoader.

Gli agenti malevoli in questione sono state realizzate in Dlang, un linguaggio di programmazione che di solito non viene utilizzato nel contesto del cybercrimine. Questo tipo di comportamento potrebbe essere un modo di Lazarus per “testare” nuove soluzioni anti-rilevamento nel contesto delle sue numerose operazioni.

Giusto qualche giorno fa la stessa Microsoft aveva avvertito gli utenti rispetto alle numerose campagne portate avanti dal gruppo di cybercriminali nordcoreani.

Ancora Log4j a due anni di distanza: NineRAT di Lazarus preoccupa gli esperti

La campagna malware, individuata da Cisco Talos, sembra essere iniziata lo scorso mese di marzo. Stando ai dati raccolti dagli esperti, i principali obiettivi di Lazarus sarebbero soprattutto aziende manifatturiere e agricole.

Ad allarmare i ricercatori di Cisco Talos sarebbe, nello specifico, il comportamento di NineRAT. Questo, infatti, lavora con una tecnica nota come re-fingerprinting. Di fatto, si tratta dell’identificazione del sistema colpito e della raccolta dati, il tutto per un futuro sfruttamento ulteriore della vittima da parte di Lazarus o di altri gruppi affiliati.

D’altro canto desta anche una certa sorpresa il fatto che Log4j, a due anni di distanza dalla sua scoperta, offra ancora una crepa in cui riescono ad infiltrarsi gli hacker. Nel 2021 Log4j a quasi 5 milioni di tentativi di aggressione (con un numero elevato registrato anche nel nostro paese), dimostrandosi come una delle minacce online più temibili dell’intera annata.

Ti consigliamo anche

GitHub: scoperti 3.000 account che diffondono malware
Vulnerabilità

GitHub: scoperti 3.000 account che diffondono malware
Hamster Kombat, rischio malware per milioni di videogiocatori
Vulnerabilità

Hamster Kombat, rischio malware per milioni di videogiocatori
EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Vulnerabilità

EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Google Play Store, scansione malware: Play Protect migliora ancora
Sicurezza

Google Play Store, scansione malware: Play Protect migliora ancora
Link copiato negli appunti