Lazarus APT nimmt japanische Organisationen mit VSingle- und ValeforBeta-Malware ins Visier
Inhaltsverzeichnis:
Sicherheitsforscher beobachten eine anhaltende bösartige Aktivität, die von der berüchtigten Lazarus-APT gegen japanische Organisationen gestartet wurde. Die meisten Infektionen folgen dem gleichen Ablauf und basieren auf Malware-Beispielen von VSingle und ValeforBeta.
Analyse von VSingle und ValeforBeta
The neueste Untersuchung von Shusei Tomonaga zeigt, dass VSingle-Malware als HTTP-Bot agiert, der dazu entwickelt wurde, bösartige Zweitstufen auf der Zielinstanz herunterzuladen und auszuführen. Nach der Installation startet die Malware den Explorer, versteckt ihre schädliche Aktivität mithilfe von DLL-Injektion und kommuniziert mit dem Befehls- und Steuerungsserver (C&C) des Angreifers, um weitere Anweisungen zu erhalten. Die Funktionalität von VSingle ist ziemlich einfach und ermöglicht der Malware das Herunterladen und Ausführen von Plugins, die Ausführung beliebigen Codes, das Senden zusätzlicher Informationen und das Laden von Dateien auf die angegriffene Maschine.ge malicious strains on the targeted instance. Once installed, the malware launches Explorer, hides its nefarious activity with the help of DLL injection, and communicates to the attacker’s command and control (C&C) server to receive further instruction. VSingle functionality is rather simple and allows the malware to download and execute plugins, execute arbitrary code, send additional information, and load files to the machine under attack.
ValeforBeta ist ebenfalls ein HTTP-Bot, der im Vergleich zu VSingle noch einfacher funktioniert. ValeforBeta kann Code ausführen, Dateien vom entfernten Netzwerk hoch- oder herunterladen und Systemdaten an den Server der Angreifer übertragen.
Beide beobachteten bösartigen Varianten dienen dazu, einen Fuß in die Tür zu bekommen und zusätzliche Angriffs-Tools auf die infizierte Instanz hochzuladen. Bemerkenswert ist, dass Lazarus-Hacker während des Infektionsprozesses auch legitime 3proxy-, Stunnel- und Plink-Software anwenden, um die Kommunikation mit dem Server des Angreifers herzustellen, grundlegende Aufklärung durchzuführen und gezielte Ressourcen zu kontrollieren.
Erkennung von Lazarus-Angriffen
Um sich gegen bösartige Aktivitäten im Zusammenhang mit VSingle- und ValeforBeta-Malware zu verteidigen, hat unser aktiver Threat Bounty-Entwickler, Emir Erdogan, eine Sigma-Regel für die Community veröffentlicht: https://tdm.socprime.com/tdm/info/VNJk0ZZEmheD/AA2UbngBFLC5HdFVMDc5
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Taktiken: Ausführung, Laterale Bewegung, Command and Control,
Techniken: Befehlszeilenschnittstelle (T1059), Remote-Dateikopie (T1544)
Akteur: Lazarus-Gruppe
Die von Nordkorea staatlich gesponserte Lazarus-APT-Gruppe ist äußerst aktiv bei der Durchführung verschiedener böswilliger Kampagnen, die auf finanziellen Gewinn und politische Intervention abzielen. Seit 2009 wurde Lazarus mit verschiedenen lauten Cybersicherheitsvorfällen in Verbindung gebracht, darunter der Sony Pictures-Einbruch, der Raubüberfall auf die Bangladesh-Zentralbank und der WannaCry-Angriff. Der Ausbruch von COVID-19 erweiterte die Eindringvektoren und die Liste der Ziele für den nationengestützten Akteur. Letztes Jahr war die Gruppe in Angriffe auf mehrere Kryptowährungsbörsen und Pharmafirmen, die Impfstoffe entwickeln, verwickelt. Das Jahr 2021 war geprägt von bösartigen Operationen gegen Luft- und Raumfahrt- sowie Verteidigungsauftragnehmer während der Operation Dream Job. Um die bösartige Aktivität im Zusammenhang mit Lazarus APT zu identifizieren und proaktiv auf mögliche Cyber-Angriffe zu reagieren, prüfen Sie die dedizierten Erkennungsinhalte verfügbar im Threat Detection Marketplace.
Suchen Sie nach den besten SOC-Inhalten, die mit Ihren verwendeten SIEM-, EDR- und NTDR-Tools kompatibel sind? Erhalten Sie ein kostenloses Abonnement von unserem Threat Detection Marketplace und erreichen Sie mühelos über 100K Erkennungs- und Reaktionsregeln, die in verschiedene Formate umwandelbar sind. Genießen Sie das Programmieren und möchten Sie zur branchenweit ersten SOC-Inhaltsbibliothek beitragen? Treten Sie unserem bei Threat Bounty Programm!
