Erkennungsinhalte: APT38-Malware

Wir haben kürzlich eine Regel veröffentlicht, um eines der neuesten Werkzeuge der berüchtigten APT38-Gruppe, auch bekannt als Lazarus oder Hidden Cobra, zu entdecken. Und es ist an der Zeit, weiterhin Inhalte zu veröffentlichen, um diese hochentwickelte Cyberkriminellengruppe zu entlarven. Im heutigen Artikel geben wir die Links zu frischen Erkennungsinhalten von einem der ersten Teilnehmer des SOC Prime Threat Bounty Programms – Lee Archinal. Lee veröffentlichte zwei Regeln, die Bitsran and Bistromath Malware erkennen, die von APT38 in jüngsten Angriffen verwendet wurde.

Bistromath ist ein voll funktionsfähiges RAT, das ein Implantat für die Standard-Systemverwaltung, Kontrolle und Aufklärung verwendet. Die anfängliche Infektion erfolgt über eine bösartige ausführbare Datei. Netzwerkkommunikationen werden über XOR verschlüsselt. Die entdeckten Bistromath-Proben versuchen, Analysen durch gängige Sandboxes durch mehrere Artefaktüberprüfungen (Vorhandensein bestimmter Geräte, Registrierungseinträge, Prozesse, Dateien) zu umgehen. Die Malware ist in der Lage, Dateien und Prozesse zu manipulieren, Daten zu exfiltrieren, die CMD-Shell zu nutzen, zu spionieren, Keylogging, Browserentführungen und mehr durchzuführen.

Bitsran ist eine Dropper- und Verbreiterkomponente für die Hermes 2.1 Ransomware Radikaledition. Es ist darauf ausgelegt, eine bösartige Nutzlast im Netzwerk des Opfers auszuführen und zu verbreiten. Bei Ausführung platziert die Malware eine Kopie von sich selbst im TEMP-Verzeichnis. Die Malware listet dann alle Prozesse auf, sucht nach bestimmten Anti-Virus-Prozessen und versucht, diese mit dem Befehlszeilentool taskkill zu beenden. Danach extrahiert Bitsran die endgültige Nutzlast und führt sie aus. Während diese zusätzliche Nutzlast ausgeführt wird, versucht die ursprüngliche Malware, sich auf andere Geräte im Netzwerk zu kopieren. Zwei Benutzerkonten sind hartcodiert in die Malware und werden verwendet, um Verbindungen zu den C$ SMB-Freigaben auf Windows-Geräten herzustellen.

APT38 Bistromath Malware (Sysmon-Verhalten) von Lee Archinal: https://tdm.socprime.com/tdm/info/Ao1O2R1cWwVm/8SEPW3IBjwDfaYjK3Kya/

APT38 Bitsran Malware (Sysmon-Verhalten) von Lee Archinal: https://tdm.socprime.com/tdm/info/BlNBeqFYdOnr/O4wNW3IB1-hfOQirkGBq/

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Persistenz, Privilegieneskalation

Techniken: Registrierungsschlüssel / Autostart-Ordner (T1060), Geplante Aufgabe (T1053)