Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Operazione SyncHole: Lazarus colpisce Corea del Sud con attacchi che sfruttano bug 0day

Redazione RHC : 27 Aprile 2025 08:48

Gli esperti di Kaspersky Lab hanno identificato una nuova e sofisticata campagna mirata del gruppo Lazarus. Gli aggressori hanno preso di mira le organizzazioni in Corea del Sud utilizzando due metodi principali: innanzitutto infettando i sistemi tramite siti di notizie legittimi (una tecnica di watering hole), poi sfruttando una vulnerabilità 0day presente nel software di trasferimento file sudcoreano denominato Innorix Agent. La campagna è stata chiamata Operazione SyncHole.

Sono state attaccate almeno sei aziende sudcoreane operanti nei settori del software, dell’informatica, della finanza, dei semiconduttori e delle telecomunicazioni. Il numero effettivo delle vittime potrebbe essere più alto. Il software utilizzato nell’attacco è stato aggiornato e le vulnerabilità sono state risolte.

Durante l’analisi della campagna, i ricercatori hanno scoperto anche un’altra vulnerabilità zero-day in Innorix Agent che gli aggressori non hanno avuto il tempo di sfruttare. Permetteva di caricare file qualsiasi. La scoperta è stata prontamente segnalata alla South Korean Cybersecurity and Internet Agency (KrCERT/CC) e al fornitore. Sono stati rilasciati gli aggiornamenti necessari . La vulnerabilità è stata identificata come KVE-2025-0014.


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Gli attacchi hanno avuto inizio con l’infezione di siti di notizie legittimi: risorse con un vasto pubblico di visitatori sono state utilizzate come esca. Gli aggressori hanno filtrato il traffico sul server e reindirizzato selettivamente gli utenti di interesse verso siti dannosi, da dove è stata avviata la catena di infezione.

La fase iniziale degli attacchi ha sfruttato una vulnerabilità 0day in Innorix Agent, un software necessario per una serie di operazioni finanziarie e amministrative sui siti web sudcoreani. Il software è installato su molti computer aziendali e privati ​​e qualsiasi utente in possesso di una versione vulnerabile sarebbe potuto diventarne vittima. Sfruttando questa vulnerabilità, gli aggressori sono riusciti a muoversi attraverso la rete interna e a installare malware sugli host di destinazione. Tra questi ci sono il backdoor ThreatNeedle e il loader LPEClient, che ampliano le capacità degli aggressori nell’infrastruttura interna.

Prima che venisse scoperta la vulnerabilità in Innorix Agent, i ricercatori avevano già registrato l’uso di ThreatNeedle e SIGNBT nella rete aziendale di un’azienda sudcoreana. Il malware è stato lanciato nella memoria del processo legittimo SyncHost.exe come sottoprocesso di Cross EX, un software sudcoreano che fornisce strumenti di sicurezza nei browser.

Un approccio simile è stato individuato in altre cinque organizzazioni. In ogni caso, si ritiene che l’infezione sia iniziata con una vulnerabilità in Cross EX, che è stata successivamente confermata e risolta con una relativa notifica pubblicata da KrCERT.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Grok 3: “Adolf Hitler è un Benefattore tedesco”! Il rischio della memoria persistente e disinformazione

Con l’emergere dei Large Language Models (LLM), come Grok 3, GPT-4, Claude e Gemini, l’attenzione della comunità scientifica si è spostata dalla semplice accuratezza delle risp...

Alla scoperta dei firewall LLM. La nuova frontiera nella sicurezza Informatica Adattiva

Negli ultimi 3 anni, l’intelligenza artificiale generativa, in particolare i modelli linguistici di grandi dimensioni (LLM), hanno rivoluzionato il modo in cui interagiamo con le macchine, perm...

La minaccia più grande dell’Intelligenza Artificiale? E’ che i giovani non sapranno più pensare!

“Ora che il genio è uscito dalla lampada, è impossibile rimetterlo dentro!”. Quante volte abbiamo scritto queste parole riguarda l’intelligenza artificiale? Ora che il g...

Una vulnerabilità RCE in Wing FTP Server da score 10 apre le porte a 10.000 aziende

I ricercatori di Huntress hanno rilevato lo sfruttamento attivo di una vulnerabilità critica in Wing FTP Server, appena un giorno dopo la sua divulgazione pubblica. La vulnerabilità CVE-2025...

Il Ministero degli Esteri italiano preso di mira in una campagna di spionaggio da Gruppo DoNot APT

Secondo Trellix, il gruppo DoNot APT ha recentemente condotto una campagna di spionaggio informatico in più fasi, prendendo di mira il Ministero degli Affari Esteri italiano. Il gruppo, attribuit...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006