Il noto gruppo di minaccia avanzata persistente (APT) Lazarus non è nuovo ad attività di abuso della reputazione. 

Già nel passato, al pari di altre minacce persistenti, sfruttarono, in attività di phishing, società del calibro di Northrop Grumman e BAE Systems, spacciando false offerte di lavoro ai malcapitati, sfruttando (abusando del) la reputazione delle aziende impersonate per raggiungere le vittime e, naturalmente, abusando di loro. 

Si è trattato di vere e proprie frodi nel reclutamento: questa hanno tipicamente il solo intento di ottenere informazioni personali (dai dati anagrafici alle coordinate bancarie, ecc) delle vittime sfruttando la reputazione del mittente falsificato, in genere aziende grandi e famose. 

L’obiettivo del gruppo Lazarus si è spostato recentemente verso l’industria della difesa, con una nuova campagna che va all’attacco di aspiranti candidati a lavori legati al settore della difesa, ed in particolare impersonando, in questa ultima operazione rilevata da Qualys, la Lockheed Martin, società con base a Bethesda (Maryland, USA) legata come noto all'aeronautica statunitense. Lockheed Martin offre soluzioni di varia tecnologia militare, dai sistemi di missione all'esplorazione spaziale: si tratta quindi certamente di un “pesce grosso” (più di 65 miliardi di dollari di fatturato nel 2020 e oltre 100 mila dipendenti in tutto il mondo) che per il suo peso strategico è naturalmente obiettivo sensibile per tutti gli agenti di minaccia collegati a stati nazionali (come Lazarus con i suoi legami con la Corea del Nord). 

Le capacità del gruppo Lazarus sono tristemente note: il gruppo è sofisticato nelle strategie e motivato finanziariamente, e non è nuovo a grandi colpi come il grave attacco costituito dall’epidemia WannaCry, una rapina da 80 milioni di dollari alla banca del Bangladesh e altro ancora. 

In questa nuova campagna, come rilevato, l’esca si presenta con la solita veste email di reclutamento contenente dei documenti allegati dai nomi inequivocabilmente legati alla “copertura” scelta per l’azione di phishing: Lockheed_Martin_JobOpportunities.docx e Salary_Lockheed_Martin_job_opportunities_confidential.doc. 

I documenti però contengono macro con finalità malevole in grado di attivare una shellcode, recuperare ulteriori documenti e porsi in persistenza mediante le attività pianificate. In queste macro è stata notata anche l’adozione di strategie Living Off the Land Binaries (LOLBins, ossia l’abuso derivato dallo sfruttamento di eseguibili binari già presenti sui sistemi colpiti), ma l’errore in cui (le macro) sono incappate quando sottoposte ad indagine (durante la detonazione) non ha consentito di dimostrare gli intenti finali di questa attività, comunque fortemente sospetta e pericolosa. 

Lockheed Martin non ritiene di commentare quanto accaduto, e si ritiene lontana dal un rischio potenziale per sé, confidando nei suoi sistemi e procedure per la sicurezza dei propri dati. Naturalmente sarà anche così, in quanto al momento le conseguenze sono certamente per altre vittime, e nulla potrà Lockheed per la di difesa di queste, se non dedicare una apposita sezione del suo sito ai comportamenti anti frode: https://www.lockheedmartinjobs.com/recruitment-fraud. 

Quindi, facendo nostre le affermazioni nella “guida alle frodi da reclutamento” della Lockheed Martin, a noi non resta che consigliare di fare molta attenzione sulle email che riceviamo: non è tutto oro quel che luccica, anche se il nome del mittente potrebbe essere “troppo illustre” per non farlo pensare. 

Tweet