Erkennung des Gold Dragon Backdoor: Kimsuky-Hacker schlagen erneut mit Gold Dragon-Malware zu
Inhaltsverzeichnis:
Die jüngste Hacking-Kampagne der nordkoreanischen APT-Gruppe Kimsuky wurde Ende Januar 2022 gestartet und ist noch im Gange. Dieses Mal sind die Kimsuky-Hacker mit handelsüblicher Open-Source-Fernzugriffssoftware (RATs) bewaffnet, die mit der maßgeschneiderten Malware Gold Dragon installiert wird.
Gold Dragon Backdoor erkennen
Um festzustellen, dass Ihr System mit der Gold Dragon-Malware kompromittiert wurde, verwenden Sie die folgenden Regeln unserer erfahrenen Threat-Bounty-Entwickler Furkan Celik and Osman Demir:
Quasar Gold Dragon Erkennung (Februar) (über Registrierungsevent)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB und Open Distro.
Die Regel ist im Einklang mit dem neuesten MITRE ATT&CK®-Framework v.10 und behandelt die Persistenz-Taktik mit Boot- oder Logon-Autostart-Ausführung als Haupttechnik (T1547).
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, AWS OpenSearch, Securonix und Open Distro.
Die Regel ist im Einklang mit dem neuesten MITRE ATT&CK®-Framework v.10 und behandelt die Taktiken Ausführung und Verteidigungsumgehung mit Command and Scripting Interpreter (T1059), Signierte Binärproxyausführung (T1218) als Haupttechniken.
Die vollständige Liste der Erkennungen im Zusammenhang mit der Kimsuky-APT im Threat Detection Marketplace-Repository der SOC Prime-Plattform ist verfügbar hier.
SOC Prime drängt Sicherheitsfachleute, sich gegen von Russland unterstützte Cyberangriffe zu vereinen, die mit militärischen Aggressionen gegen die Ukraine einhergehen. Das Quick Hunt-Modul von SOC Prime ermöglicht eine effiziente Navigation durch eine umfangreiche Sammlung von Bedrohungsjagd-Inhalten im Zusammenhang mit der russischen Aggression mit den folgenden Tags: #stopwar, #stoprussian und #stoprussianagression. Die dedizierten Bedrohungsjagd-Abfragen sind KOSTENLOS über den unten stehenden Link verfügbar, sodass Teams sofort nach relevanten Bedrohungen suchen können:
Vollständige Sammlung von Jagdinhalten zur Erkennung von Bedrohungen aus Russland
Möchten Sie mit Branchenführern in Verbindung treten und Ihre eigenen Inhalte entwickeln? Treten Sie SOC Primes Crowdsourcing-Initiative als Inhaltsbeitragender bei und teilen Sie Ihre eigenen Sigma- und YARA-Regeln mit der globalen Cybersecurity-Community, während Sie die kollaborative Cyberabwehr weltweit stärken.
Erkennungen anzeigen Treten Sie dem Threat Bounty bei
Kimsuky APT-Angriffe
Kimsuky, auch bekannt als TA406, ist eine mit Nordkorea verbundene APT-Gruppe, die seit 2013 aktiv ist. Die jüngste Kampagne, die Ende Januar begann, zeichnet sich dadurch aus, dass Hacker handelsübliche RATs in gezielten Angriffen auf südkoreanische Organisationen einsetzen. Der Einsatz von handelsüblichen RATs ermöglicht es Bedrohungsakteuren, sich darauf zu konzentrieren, Malware der nächsten Stufe zu entwickeln, die spezifischere Funktionalitäten erfordert, basierend auf den Schutzwerkzeugen und Verfahren, die auf dem infizierten Rechner verfügbar sind. In den neuesten Angriffen verteilten die Hacker eine zusätzliche Datei (“UnInstall_kr5829.co.in.exe”) mit xRAT, um ihre Spuren im kompromittierten System zu löschen.
Laut Forschern von ASECverwendete Kimsuky eine Variante ihres benutzerdefinierten Backdoors Gold Dragon. Es ist ein Backdoor der zweiten Stufe, das über den exklusiven Installer („installer_sk5621.com.co.exe“) installiert wird. Der Installer erstellt dann einen neuen Registrierungsschlüssel, um die Persistenz der Malware-Payload sicherzustellen („glu32.dll“). Die Analyse des Gold Dragon Backdoors zeigt, dass Hacker es verwenden, um ein xRAT-Tool herunterzuladen, um manuell Daten vom infizierten Rechner zu stehlen.
Schwierige Zeiten erfordern drastische Maßnahmen! Schließen Sie sich mit SOC Primes Detection as Code Plattform zusammen, um Ihre Bedrohungserkennung mit der Stärke einer globalen Gemeinschaft von Cybersicherheitsexperten zu verbessern. Sie können auch die kollaborative Expertise bereichern, indem Sie an SOC Primes Crowdsourcing-Initiativeteilnehmen. Schreiben und senden Sie Ihre Sigma- und YARA-Regeln, lassen Sie sie auf einer Plattform veröffentlichen und erhalten Sie wiederkehrende Belohnungen für Ihren Beitrag.
