Erkennung von AppleJeus-Malware: Nordkorea-verbundene Lazarus-APT verbreitet bösartige Varianten, die sich als Kryptowährungs-Apps ausgeben

[post-views]
Dezember 07, 2022 · 5 min zu lesen
Erkennung von AppleJeus-Malware: Nordkorea-verbundene Lazarus-APT verbreitet bösartige Varianten, die sich als Kryptowährungs-Apps ausgeben

Eine berüchtigte von Nordkorea unterstützte APT-Gruppe, Lazarus, erweitert kontinuierlich ihre Angriffsfläche, indem sie betrügerische Kryptowährungsapps nutzt, um die AppleJeus-Malware zu verbreiten. In dieser neuesten Gegnerkampagne verwenden Lazarus-Hacker gefälschte Kryptowährungsapps namens BloxHolder, um AppleJeus-Malware zu installieren, sich ersten Zugang zu Netzwerken zu verschaffen und Krypto-Vermögenswerte zu stehlen.

In den letzten vier Jahren hat die Lazarus APT-Gruppe besonders Interesse daran gezeigt, Kryptowährungs- und Blockchain-Unternehmen aus finanziellen Gründen anzugreifen. Zum Beispiel trat im April 2022 die TradeTraitor-Kampagne von Lazarus ins Rampenlicht und zielte auf Handels-, Börsen- und Investmentfirmen, NFTs oder Krypto-Play-to-Earn-Spiele sowie auf individuelle Inhaber von Kryptowährungs-Wallets und NFTs ab.

AppleJeus Malware erkennen 

Die Lazarus-Gruppe ist eine berüchtigte Hacking-Organisation, die vom nordkoreanischen Staat unterstützt wird. Diese APT-Gruppe steht seit mindestens 2009 im Fokus und wird verdächtigt, hinter einer Reihe von hochkarätigen Kampagnen zu stecken, darunter Cyberkrieg, Cyberspionage und Ransomware-Angriffe. Um sich proaktiv gegen die neueste Lazarus-Kampagne zu verteidigen, die eine verbesserte AppleJeus-Malware-Version verbreitet, sollten Sie den Download eines Pakets von speziellen Sigma-Regeln von der Detection as Code-Plattform von SOC Prime in Betracht ziehen: 

Sigma-Regeln zum Erkennen von AppleJeus-Malware der Lazarus APT-Gruppe

Alle oben genannten Erkennungsinhalte sind dem MITRE ATT&CK® Framework zugeordnet und unterstützen Übersetzungen in mehr als 25 führende SIEM-, EDR-, BDP- und XDR-Alarm- und Abfrageformate. Die Erkennungsalgorithmen werden sowohl vom SOC Prime Team als auch unseren erfahrenen Threat Bounty-Entwicklern bereitgestellt, was eine Vielzahl von Regeln sicherstellt, die zu Ihrem Bedrohungsprofil und Technik-Kit passen.

Treten Sie unserem Threat Bounty-Programm für Cyber-Verteidiger bei, um Ihre eigenen Sigma-Regeln zu erstellen, sie auf dem weltweit größten Marktplatz für Bedrohungserkennung zu veröffentlichen und Geld für Ihren Beitrag zu verdienen. Mit SOC Prime’s Threat Bounty können Sie buchstäblich Ihren Lebenslauf kodieren, während Sie Sigma- und ATT&CK-Kenntnisse erwerben und Ihre Fähigkeiten im Bedrohungsjagd und in der Erkennungstechnik verfeinern.

Bis heute aggregiert die SOC Prime Plattform eine Vielzahl von Sigma-Regeln, die Werkzeuge und Angriffstechniken im Zusammenhang mit dem Lazarus APT-Kollektiv erkennen. Drücken Sie die Detektionen erkunden Schaltfläche, um die Erkennungsalgorithmen zusammen mit den entsprechenden ATT&CK Referenzen, Bedrohungsinformationslinks und anderen relevanten Metadaten zu überprüfen.

Detektionen erkunden

Beschreibung der AppleJeus-Malware: Angriffsanalyse der neuesten Aktivitäten der Lazarus APT

Die staatlich geförderte nordkoreanische Lazarus APT-Gruppe, auch bekannt als HIDDEN COBRA , steht hinter einer Welle neuer Cyberangriffe, die auf Netz- und Kryptowährungsnutzer abzielt, indem gefälschte Krypto-Apps unter dem Namen BloxHolder verteilt und AppleJeus-Malware auf kompromittierten Systemen verbreitet werden.

Das Hacking-Kollektiv verbreitet AppleJeus seit 2018, um Kryptowährung von gezielten Nutzern zu stehlen. Im Februar 2021 gaben CISA, FBI und das Finanzministerium (Treasury) eine gemeinsame Warnung mit den Details der AppleJeus-Malware sowie Empfehlungen zur Minderung heraus. Die Lazarus APT-Gruppe, die für die Bereitstellung dieser Malware verantwortlich ist, zielte weltweit auf individuelle Nutzer und Organisationen in mehreren Branchen, einschließlich Kryptowährungsbörsen und Finanzinstitutionen, ab, um Kryptowährungsvermögen zu stehlen. Laut dieser Beratung nutzte das von der nordkoreanischen Nation unterstützte Hacking-Kollektiv bis zu sieben verschiedene AppleJeus-Varianten seit 2018 und bereicherte sie ständig mit erweiterten Fähigkeiten.

Volexity-Cybersicherheitsforscher waren die ersten, die im Juni 2022 eine neue Aktivität der Lazarus-Bedrohungsakteure beobachteten, bei der AppleJeus mithilfe von bewaffneten Microsoft Office-Dokumentdateien installiert wurde, um die Aufmerksamkeit der angezielten Kryptowährungsnutzer zu erregen. Hacker registrierten einen neuen Domainnamen, bloxholder[.]com, für eine Kryptowährungshandelsplattform. Die Untersuchung zeigte, dass Letzterer ein reiner Klon einer anderen legitimen Website war. Cybersicherheitsforscher stießen auf diese gefälschte BloxHolder-Website, die der damit verbundenen bösartigen Kampagne einen Namen gab, nachdem sie den AppleJeus-Schadcode in der MSI-Datei entdeckt hatten, die versuchte, Kryptowährungsnutzer dazu zu verleiten, die Krypto-App herunterzuladen und die Infektionskette auszulösen. Sobald die Verführungsdatei die legitime App installiert, erstellt sie eine geplante Aufgabe und legt bösartige Dateien im Systemordner ab, was zur Bereitstellung der neuen Variante der AppleJeus-Malware führt.

Im Oktober 2022 intensivierte das Hacking-Kollektiv seine bösartigen Kampagnen, indem es Microsoft Office-Dokumente statt des MSI-Installers nutzte, um AppleJeus bereitzustellen. In den neuesten Cyberangriffen haben die Lazarus-Hacker auch ihre offensiven Fähigkeiten verbessert, indem sie eine verkettete DLL-Sideloading-Technik anwandten, um Malware zu laden, was es ihnen ermöglicht, der Erkennung zu entgehen. Darüber hinaus sind in der jüngsten Kampagne, die AppleJeus-Malware verbreitet, alle Zeichenfolgen und API-Aufrufe durch Nutzung eines benutzerdefinierten Verschlüsselungsalgorithmus verschleiert, was den Cyber-Verteidigern eine weitere Herausforderung stellt, die Infektion rechtzeitig zu identifizieren.

Wachsende Mengen an Cyberangriffen der berüchtigten staatlich unterstützten Lazarus APT-Gruppe und ihre zunehmende Raffinesse erfordern eine ultraresponsive Reaktion von Cyber-Verteidigern. Besuchen Sie socprime.com , um nach Sigma-Regeln gegen aktuelle und aufkommende Bedrohungen, einschließlich Malware, die Kryptowährungsnutzer betrifft, zu suchen, und erreichen Sie über 9.000 Ideen für die Detektionstechnologie und das Bedrohungsjagd zusammen mit umfassendem Cyber-Bedrohungskontext. Oder upgraden Sie auf On Demand als Teil unseres Cyber-Monday-Angebots , das bis zum 31. Dezember gültig ist, und erhalten Sie bis zu 200 Premium-Sigma-Regeln Ihrer Wahl zusätzlich zum verfügbaren Detektionsstapel in Ihrem gewählten Paket.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Koske Malware-Erkennung: Neue KI-generierte Linux-Bedrohung in freier Wildbahn 5 min zu lesen Neueste Bedrohungen Koske Malware-Erkennung: Neue KI-generierte Linux-Bedrohung in freier Wildbahn by Veronika Telychko AI Threat Intelligence 13 min zu lesen SIEM & EDR AI Threat Intelligence by Veronika Telychko CyberLock, Lucky_Gh0$t, und Numero-Erkennung: Hacker setzen gefälschte KI-Tool-Installateure in Ransomware- und Malware-Angriffen ein 7 min zu lesen Neueste Bedrohungen CyberLock, Lucky_Gh0$t, und Numero-Erkennung: Hacker setzen gefälschte KI-Tool-Installateure in Ransomware- und Malware-Angriffen ein by Veronika Telychko
Alle Nachrichten