Segui 
Il noto collettivo di hacker nordcoreani Lazarus Group, anche tracciato come APT38, Dark Seoul o Hidden Cobra, ha guadagnato la sua reputazione come attori minacciosi supportati da nazioni, principalmente mirati a società di criptovalute. Nella nuova campagna malevola scoperta, soprannominata DeathNote, gli avversari stanno cambiando focus puntando principalmente sulle organizzazioni della difesa insieme ai settori automobilistico e accademico.
Rilevare la Campagna DeathNote da parte dello Squadrone di Hacker Lazarus
Essendo sotto i riflettori nell’arena delle minacce informatiche dal 2009, gli hacker del gruppo Lazarus sfidano costantemente i difensori del cyberspazio con nuove minacce e capacità offensive potenziate. Nella più recente campagna DeathNote, gli esperimenti del gruppo con nuovi obiettivi e l’uso di strumenti e tecniche più sofisticati richiedono un’ultra reattività dalle forze difensive. Per aiutare le organizzazioni a identificare tempestivamente l’attività avversaria nella loro infrastruttura, SOC Prime ha recentemente rilasciato una nuova regola Sigma scritta dal nostro esperto sviluppatore di Threat Bounty, Emre Ay:
Questa regola Sigma rileva l’ultima attività del Lazarus APT Group che tenta di accedere alla politica predefinita del controller di dominio per scoprire informazioni sul sistema compromesso. Il rilevamento è allineato con l’ultimo MITRE ATT&CK® framework v12 affrontando la tattica di Discovery e la tecnica corrispondente di Group Policy Discovery (T1615). Per garantire la compatibilità tra strumenti, la regola può essere tradotta istantaneamente in oltre 20 soluzioni SIEM, EDR, XDR e BDP.
I professionisti della cybersecurity che cercano modi per monetizzare le loro idee di rilevamento e caccia possono sfruttare il potenziale del nostro Programma Threat Bounty per condividere le proprie regole Sigma con i colleghi del settore e contribuire alla competenza collettiva mentre trasformano le loro competenze in benefici finanziari.
A causa dell’alto volume di attacchi attribuiti al collettivo di hacker Lazarus e del suo toolkit avversario in continua evoluzione, le organizzazioni all’avanguardia si stanno sforzando di rafforzare le loro capacità di difesa informatica e rilevare proattivamente le minacce correlate. Cliccando sul pulsante Esplora Rilevamenti qui sotto, i difensori possono accedere immediatamente all’intera lista di regole Sigma per il rilevamento dell’attività del gruppo Lazarus. Tutti gli algoritmi di rilevamento sono arricchiti con CTI, link ATT&CK, binari eseguibili e ulteriori metadata rilevanti per un’indagine semplificata sulle minacce.
Analisi degli Attacchi del Gruppo di Hacker Lazarus: Cosa si cela dietro la Campagna DeathNote
Il famigerato attore minaccioso nordcoreano sta rapidamente evolvendo il suo toolkit e le strategie relative alla duratura campagna DeathNote. L’ultima indagine rivela che Lazarus sta passando da aziende legate alle criptovalute a contrattisti della difesa, istituti accademici e aziende automobilistiche, espandendo significativamente la lista dei potenziali bersagli.
Il cluster DeathNote, anche tracciato come NukeSped o Operation Dream Job, comporta lo sfruttamento di false opportunità di lavoro per indurre le vittime a seguire link dannosi o cliccare su file infetti, con conseguente distribuzione di malware per l’epionaggio. Il lancio iniziale della campagna risale al 2019-2020, concentrandosi inizialmente sugli operatori del mercato delle criptovalute. I picchi di attività di DeathNote sono stati registrati nell’agosto 2020 e nel luglio 2021, spostando l’area di interesse degli hacker verso il governo, la difesa e i settori ingegneristici. Sulla base delle osservazioni più recenti, gli esperti di sicurezza stimano che i paesi dell’Europa orientale siano ora sotto attacco, con tutti i documenti esca e le descrizioni dei lavori legate ai contrattisti della difesa e alle entità diplomatiche rinnovati da Lazarus.
Il vettore di criptovaluta dell’attività di Lazarus segue tipicamente la stessa routine malevola. Il gruppo di hacker si affida a esche a tema mining di Bitcoin per distribuire documenti con macro e attivare il backdoor Manuscrypt sui sistemi compromessi.
I settori automobilistico e accademico sono presi di mira con una strategia leggermente diversa legata a una campagna più ampia contro l’industria della difesa da parte di Lazarus. Tali attacchi spesso si concludono con l’installazione di impianti BLINGCAN e COPPERHEDGE sulle macchine delle vittime.
La catena di attacco alternativa collegata a DeathNote si basa su un’applicazione di lettura PDF legittimata chiamata SumatraPDF per procedere con ulteriori attività malevole. L’abuso di software legittimo è stato registrato in attacchi contro organizzazioni in Lettonia e Corea del Sud portando alla consegna di backdoor e infostealer. È un metodo di attacco ampiamente utilizzato per gli attori supportati dallo stato, con una storia comprovata sulle capacità della catena di fornitura. Ad esempio, Lazarus è stato accusato di un attacco contro fornitore di servizi VoIP aziendali 3CX rivelato a marzo 2023.
I crescenti volumi di attacchi informatici del famigerato gruppo APT Lazarus supportato dallo stato e la loro crescente sofisticazione richiedono un’ultra reattività dai difensori informatici. Affidati a SOC Prime per essere completamente equipaggiato con contenuti di rilevamento che affrontano strumenti e attacchi legati agli APT. Ottieni accesso a oltre 1000 regole per rilevare comportamenti associati ad attori sponsorizzati dallo stato. Ottieni oltre 200 regole Sigma gratuite su https://socprime.com/ o accedi all’intera lista degli algoritmi di rilevamento rilevanti scegliendo l’abbonamento On Demand su misura per le tue esigenze di sicurezza su https://my.socprime.com/pricing.
