Lazarus Group Resurfaces, Exploiting Log4j Vulnerability and Spreading MagicRAT
Inhaltsverzeichnis:
Lazarus-Gruppe, auch bekannt als APT38, Dark Seoul, Hidden Cobra und Zinc, hat sich einen Ruf als hochqualifizierter und gut finanzierter staatlich gesponserter Zusammenschluss von kriminellen Hackern erworben, der seit 2009 Chaos anrichtet.
In der jüngsten Kampagne setzte Lazarus die neuartige Malware MagicRAT ein, nachdem Schwachstellen in VMWare Horizon-Plattformen ausgenutzt wurden, wie etwa ein prominenter Log4j Fehler. Die berüchtigte APT richtete diese Angriffsserie gegen eine Reihe von Energieunternehmen in den USA, Japan und Kanada.
Aktivitäten der Lazarus-Gruppe erkennen
Um mögliche Angriffe zu identifizieren und den neuartigen Lazarus Spear Phishing-Angriff zu beheben, laden Sie ein Paket kostenloser Sigma-Regeln herunter. Der Inhalt wurde von unserem scharfsinnigen Threat Bounty-Entwickler Emir Erdogan:
Höchst verdächtige Lazarus APT Gruppenaktivität (MagicRAT-Erkennung über file_creation)
Höchst mögliche Lazarus APT Gruppen-RAT-Nutzung (über process_creation)
The Sigma-Regeln sind mühelos in 26 SIEM, EDR und XDR-Lösungen konvertierbar und stimmen mit dem MITRE ATT&CK®-Framework v.10 überein.
Die vollständige Liste der mit dem Lazarus APT verbundenen Erkennungen ist in der Cyber Threats-Suchmaschine verfügbar – dem branchenweit ersten kostenlosen Tool für detaillierte Informationen zu Cyber-Bedrohungen und relevanten Kontexten mit Suchleistung im Sub-Sekunden-Bereich. Die Suchmaschine von SOC Prime, angetrieben durch die innovative Detection as Code-Plattform, hilft SOC-Profis, Bedrohungserkennungsoperationen zu straffen, indem sie als sofortige Quelle für Sigma-Regeln und relevante kontextuelle Informationen dient, einschließlich MITRE ATT&CK-Referenzen, Visualisierung von Angriffstrends und Erkenntnissen aus der Bedrohungsintelligenz. Drücken Sie den Detektionen erkunden Knopf, um mehr zu erfahren.
Analyse der neuesten Lazarus-Angriffskampagne
Cisco Talos veröffentlichte einen Überblick über die neue bösartige Kampagne, die von der nordkoreanischen Lazarus-Gruppe gestartet wurde. Die Angreifer haben ein neues maßgeschneidertes Implantat eingeführt – ein Remote-Access-Trojaner, der in C++ geschrieben wurde. Die Malware, genannt MagicRAT, führt Systemerkundungen durch, ermöglicht die Herstellung von Persistenz durch die Erstellung geplanter Aufgaben und erlaubt den Betreibern, beliebigen Code auszuführen und Dateien zu ändern. Darüber hinaus holt der neue RAT zusätzliche Nutzlasten. Laut den Forschungsdaten verwenden Bedrohungsakteure MagicRAT-Proben zusammen mit anderen maßgeschneiderten RATs, wie TigerRAT. Die untersuchten Beispiele wurden mit Qt Framework programmiert, um die menschliche Analyse zu erschweren.
Basierend auf beobachteten Angriffen und Nachrichtenberichten können wir ableiten, dass dieses von der nordkoreanischen Nation unterstützte Kollektiv seine Reichweite erweitert, indem es sich stärker auf verschiedene Werkzeuge und Techniken verlässt und regelmäßig Probleme für SOC-Profis verursacht.
Jeden Tag veröffentlichen wir Erkennungen für die neuesten Bedrohungen und leiten Sicherheitsfachleute durch die volatile Bedrohungslandschaft. Mit einem On Demand Abonnementplan können Sie Zeit sparen und die Leistung verbessern, indem Sie sofort den Inhalt Ihrer Wahl freischalten. Springen Sie auf die neuesten Trends auf und stärken Sie die Cyber-Resilienz Ihrer Organisation mit branchenspezifischen Lösungen, die von SOC Prime bereitgestellt werden.
