Lazarus-Gruppe greift Fertigungs- und Elektroindustrie in Europa an
Inhaltsverzeichnis:
Die berüchtigte Lazarus-APT-Gruppe (auch bekannt als HiddenCobra, APT37) wurde erneut dabei beobachtet, wie sie die Welt des Cybers verunsichert. Dieses Mal enthüllten Sicherheitsanalysten eine hochgradig zielgerichtete Cyber-Spionage-Kampagne, die sich gegen große Hersteller- und Elektroindustrie-Unternehmen in ganz Europa richtet.
Lazarus Toolset und Angriffsszenario
Der anfängliche Angriffspfad, den die Lazarus-Hacker verwendeten, ähnelte dem, der bei Operation North Star gegen die Verteidigungs- und Luft- und Raumfahrtzulieferer eingesetzt wurde. Insbesondere entwickelten Cyber-Kriminelle umfassende Social-Engineering-Taktiken über LinkedIn, um Opfer zu ködern. Die Angreifer gaben sich als legitime HR-Manager führender internationaler Unternehmen aus, um das Vertrauen zu gewinnen und die Mitarbeiter dazu zu bringen, Spear-Phishing-Anhänge auf ihren Unternehmensgeräten zu öffnen. Im Falle einer Ausführung ließen schädliche Word-Dokumente oder ISO-Dateien ein Paket von Malware in die Zielnetzwerke fallen, die es den Hackern ermöglichten, sich lateral zu bewegen und interne Erkundungen durchzuführen. In den meisten Fällen verwendeten die Bedrohungsakteure eine angepasste Version von Mimikatz für das Abrufen von Anmeldedaten sowie bekannte Exploits (z.B. EternalBlue), um Persistenz zu erlangen und ihre Rechte zu eskalieren. Anschließend setzten die Angreifer BLINDINGCAN/DRATzarus RAT ein, um nach sensiblen Daten zu suchen. Lazarus-Hacker exfiltrierten sensible Informationen über komplexe C&C-Infrastrukturen, die auf kompromittierten Websites basierten und es den APT-Mitgliedern ermöglichten, der Erkennung zu entgehen. Bemerkenswerterweise wurden die meisten Websites über öffentliche Exploits missbraucht. Wie Sicherheitsforscher schließen, war die Kampagne eher langwierig (Februar-November 2020) und zielte insbesondere auf Cyber-Spionage ab, da den kompromittierten Netzwerken kein direkter Schaden zugefügt wurde.
Erkennungsinhalte für den Lazarus-Angriff
Emir Erdogan entwickelte eine exklusive Sigma-Regel zur Erkennung der neuesten Lazarus-APT-Kampagne, die bereits im Threat Detection Marketplace verfügbar ist:
https://tdm.socprime.com/tdm/info/sYDpoPswwaR8/7TLbcHYBmo5uvpkjTltt/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Persistenz
Technik: Registrierung Startschlüssel / Startordner (T1060)
Überblick über die Lazarus-Gruppe
Die nordkoreanische Lazarus-Gruppe ist bekannt als einer der produktivsten Akteure, sowohl in Bezug auf finanziell motivierte Kampagnen als auch politisch orientierte Angriffe zugunsten der Regierung von Kim Jong-un. Die Gruppe ist aktiv seit 2009, verantwortlich für bedeutende Cybersicherheitsvorfälle wie den Sicherheitsbruch bei Sony Pictures im Jahr 2014, den Banküberfall auf die Bangladesh-Zentralbank im Jahr 2016 und den WannaCry-Angriff 2017. Auch das Jahr 2020 war für Lazarus erfolgreich. Hacker waren an einer lukrativen Kampagne gegen Kryptowährungsbörsenbeteiligt, an Cyber-Spionage-Operationen, die auf große internationale Unternehmen abzielten, und an gezielten Angriffen gegen Pharmaunternehmen , die COVID-19-Impfstoffe entwickeln.
Suchen Sie nach den besten SOC-Inhalten, die mit Ihren Sicherheitslösungen kompatibel sind? Erhalten Sie ein kostenloses Abonnement für unseren Threat Detection Marketplace. Haben Sie Spaß am Programmieren und möchten Sie zu den Threat-Hunting-Initiativen beitragen? Treten Sie SOC Primes Threat Bounty Program für eine sicherere Zukunft bei!