Erkennung der Aktivitäten der BlueNoroff-Gruppe: Bedrohungsakteure wenden neuartige Methoden an, um den Windows-Mark-of-the-Web (MoTW)-Schutz zu umgehen
Inhaltsverzeichnis:
BlueNoroff, das Teil der größeren Lazarus-Gruppe, ist eine finanziell motivierte Hackergruppe, die darauf abzielt, finanzielle Vorteile aus ihren offensiven Fähigkeiten zu ziehen. Die Gruppe, bekannt für den Diebstahl von Kryptowährungen und die häufige Verwendung von Word-Dokumenten und LNK-Dateien für den ersten Eindringungsversuch, setzt derzeit neue gegnerische Methoden ein. Bei den neuesten Angriffen experimentiert BlueNoroff mit neuen Dateitypen für die Malware-Verbreitung, die es Bedrohungsakteuren ermöglichen, die Sicherheitsfunktionen von Windows Mark-of-the-Web (MoTW) zu umgehen.
Erkennen Sie BlueNoroffs bösartige Versuche, den Windows MoTW-Schutz zu umgehen
Getrieben von starker finanzieller Motivation und einer Reihe erfolgreicher Cyberangriffe erweitert BlueNoroff APT die Horizonte seiner offensiven Fähigkeiten, indem es mit neuen gegnerischen Methoden experimentiert. Die Detection as Code-Plattform von SOC Prime konzentriert sich darauf, Cyberverteidigern zu helfen, den Überblick über die Cyberbedrohungslandschaft zu behalten und proaktiv gegen aufkommende Bedrohungen zu verteidigen. Wende des Jahres 2023 hat die Plattform eine Reihe kuratierter Sigma-Regeln veröffentlicht, um die bösartigen Aktivitäten der BlueNoroff-Gruppe zu erkennen, die fortgeschrittenere Techniken anwenden, um bei den neuesten Cyberangriffen Erkennung zu vermeiden, einschließlich Versuchen, die Sicherheitsfunktionen von Windows MoTW zu überlisten. Folgen Sie dem unten stehenden Link, um sofort auf diese neuen Erkennungen zuzugreifen, die mit MITRE ATT&CK® gekennzeichnet sind und von unseren engagierten Threat Bounty-Entwicklern geschrieben wurden, Aytek Aytemur and Nattatorn Chuensangarun:
The Sigma-Regel von Aytek Aytemur erkennt einen verdächtigen Prozess von rundll32, der marcoor.dll, eine bösartige Datei, die mit der gegnerischen Aktivität der BlueNoroff-Gruppe verbunden ist, ausführt. Diese Erkennung befasst sich mit der Ausführungstaktik mit dem Command and Scripting Interpreter (T1059) und User Execution (T1204) als ihre Haupttechniken zusammen mit der Taktik zur Umgehung der Verteidigung mit der entsprechenden System Binary Proxy Execution (T1218) Technik.
Zwei neue Sigma-Regeln von Nattatorn Chuensangarun aus der oben genannten Liste befassen sich auch mit der Ausführungstaktik, die durch die Command and Scripting Interpreter (T1059) Technik dargestellt wird. Alle Erkennungsalgorithmen im dedizierten Regelset sind mit den führenden SIEM-, EDR- und XDR-Technologien kompatibel.
Cybersecurity-Forscher und Praktiker, die darauf aus sind, ihre Detection Engineering-Fähigkeiten zu verbessern, sind eingeladen, die Kraft der kollektiven Cyberverteidigung zu nutzen, indem sie ihre eigenen mit MITRE ATT&CK gekennzeichneten Sigma-Regeln beitragen. Nehmen Sie an unserem Threat Bounty-Programm teil, um die Kraft von Sigma in Verbindung mit ATT&CK in Aktion zu sehen, Ihren zukünftigen Lebenslauf zu programmieren und wiederkehrende finanzielle Belohnungen für Ihren Beitrag zu erhalten.
Um den Finger am Puls der sich ständig verändernden Bedrohungslandschaft zu behalten und rechtzeitig bösartige Stämme, die der Aktivität der BlueNoroff-Gruppe zugeschrieben werden, zu identifizieren, klicken Sie auf den Erkunden Sie Erkennungen Button unten. Dies führt Sie sofort zu der umfassenden Liste von Sigma-Regeln, die mit relevanten Metadaten angereichert sind, um die Cyber-Bedrohungsermittlung zu beschleunigen und Ihre Cyber-Verteidigungsfähigkeiten zu verbessern.
Gegnerische Aktivitäten der BlueNoroff-Gruppe: Analyse von Verhaltensmustern, die bei den neuesten Angriffen beobachtet wurden
Die nordkoreanische APT BlueNoroff, die einen Teilcluster der berüchtigten darstellt Lazarus-Gruppe, alias APT38, ist in der Cyber-Bedrohungsarena als eine Hackergruppe anerkannt, die sich hauptsächlich auf Finanzorganisationen konzentriert, um Kryptowährungen zu stehlen. Die klassische Strategie von BlueNoroff impliziert die Verwendung eines Phishing-Angriffspfads, der darauf abzielt, Finanzinstitute zu kompromittieren und die Kryptowährungstransfers des Unternehmens abzufangen.
Cybersecurity-Forscher haben kürzlich die Einführung neuer bösartiger Stränge im gegnerischen Toolkit der Gruppe und die Verwendung neuer Dateitypen für eine effizientere Malware-Bereitstellung beobachtet. BlueNoroff hat über 70 gefälschte Domains von Risikokapitalgesellschaften und Banken erstellt, um die Mitarbeiter des Unternehmens dazu zu bringen, eine Infektionskette auszulösen und den Hackern darüber hinaus zu ermöglichen, ihre finanziellen Vorteile zu erlangen. Die Mehrheit der betrügerischen Domains gibt sich als die japanischer Finanzinstitute aus, was auf das steigende Interesse der Hacker hinweist, japanische Organisationen im entsprechenden Industriebereich zu kompromittieren.
Bei den neuesten Angriffen experimentiert BlueNoroff mit ausgefeilteren gegnerischen Strategien, um die Effizienz der Umgehung der Windows-Sicherheitsfunktionen zu steigern und Cyberverteidigungsaktivitäten zu stören. Bedrohungsakteure wurden beobachtet, wie sie mehrere Skripte verwenden, wie Visual Basic und Windows Batch, sowie ISO- und VHD-Dateiformate anwenden, um die Infektion zu verbreiten. Die Gruppe hat Bilddateien genutzt, um das Windows MoTW-Flag zu umgehen und der Erkennung zu entgehen. Letzteres ist eine Windows-Sicherheitsfunktion, die eine Warnmeldung anzeigt, wenn ein Benutzer versucht, eine unbekannte oder verdächtige Datei zu öffnen, die aus dem Internet heruntergeladen wurde.
Fortschrittliche Organisationen übernehmen die proaktive Cybersecurity-Strategie, um vollständig mit Cyberverteidigungsfähigkeiten ausgestattet zu sein und Angriffe jeglicher Größenordnung der berüchtigten Lazarus-Gruppe effizient zu vereiteln. Nutzen Sie 445 Sigma-Regeln um Lazarus APT-Angriffe kostenlos zu erkennen oder mehr aus über 2.400 Erkennungen zu profitieren, die relevante TTPs mit On Demand bei https://my.socprime.com/pricing/.
