Lazarus-Hacker-Gruppe verlagert Ziele und wendet fortschrittliche Techniken in einer neuen DeathNote-Kampagne an
Inhaltsverzeichnis:
Das berüchtigte nordkoreanische Hacker-Kollektiv Lazarus-Gruppe, auch verfolgt als APT38, Dark Seoul oder Hidden Cobra, hat sich einen Ruf als hochprofiliertes, nationengestütztes Bedrohungsakteur gemacht, das hauptsächlich Kryptowährungsunternehmen ins Visier nimmt. In der neu entdeckten bösartigen Kampagne namens DeathNote verlagern die Gegner ihren Fokus, indem sie sich hauptsächlich auf Verteidigungsorganisationen sowie auf die Automobil- und Bildungssektoren konzentrieren.
Erkennung der DeathNote-Kampagne durch Lazarus-Hacker-Squad
Seit 2009 im Rampenlicht der Cyberbedrohungsarena, fordern Lazarus-Hacker die Cyberverteidiger kontinuierlich mit neuen Bedrohungen und erweiterten Angriffsfähigkeiten heraus. In der neuesten DeathNote-Kampagne erfordern die Experimente der Gruppe mit neuen Zielen und der Einsatz noch ausgeklügelterer Werkzeuge und Techniken eine hohe Reaktionsfähigkeit von den Verteidigungskräften. Um Organisationen dabei zu helfen, die gegnerische Aktivität in ihrer Infrastruktur rechtzeitig zu identifizieren, hat SOC Prime kürzlich eine neue Sigma-Regel veröffentlicht, die von unserem aufmerksamen Threat Bounty-Entwickler Emre Ay:
Diese Sigma-Regel erkennt die neueste Aktivität der Lazarus-APT-Gruppe, die versucht, auf die Standard-Domänencontroller-Richtlinie zuzugreifen, um Informationen über das kompromittierte System zu entdecken. Die Erkennung ist an das neueste MITRE ATT&CK® Framework v12 angepasst und adressiert die Discovery-Taktik sowie die entsprechende Group Policy Discovery (T1615) Technik. Um eine werkzeugübergreifende Kompatibilität zu gewährleisten, kann die Regel sofort in mehr als 20 SIEM-, EDR-, XDR- und BDP-Lösungen übersetzt werden.
Cybersicherheitsexperten, die nach Möglichkeiten suchen, ihre Erkennungs- und Jagdideen zu monetarisieren, können die Kraft unseres Threat Bounty-Programm nutzen, um ihre eigenen Sigma-Regeln mit Branchenkollegen zu teilen und zum kollektiven Fachwissen beizutragen, während sie ihre Fähigkeiten in finanzielle Vorteile umwandeln.
Aufgrund des hohen Volumens von Angriffen, die der Lazarus-Hacker-Gruppe zugeschrieben werden, und ihres ständig weiterentwickelnden Bedrohungsarsenals bemühen sich fortschrittliche Organisationen, ihre Cyberabwehrfähigkeiten zu stärken und verwandte Bedrohungen proaktiv zu erkennen. Durch Klicken auf den Detektionen erkunden Button unten können Verteidiger sofort die gesamte Liste der Sigma-Regeln zur Erkennung der Lazarus-Gruppenaktivität erreichen. Alle Erkennungsalgorithmen sind mit CTI-, ATT&CK-Links, ausführbaren Binärdateien und weiteren relevanten Metadaten angereichert, um die Bedrohungsermittlung zu vereinfachen.
Analyse der Angriffe der Lazarus-Hacker-Gruppe: Hintergründe der DeathNote-Kampagne
Der berüchtigte nordkoreanische Bedrohungsakteur entwickelt seine Werkzeuge und Strategien im Zusammenhang mit der lang andauernden DeathNote-Kampagne rasch weiter. Die neueste Untersuchung zeigt, dass Lazarus von unternehmensspezifischen Kryptowährungszielen zu Verteidigungsunternehmen, Bildungseinrichtungen und Automobilunternehmen wechselt, wodurch die Liste potenzieller Opfer erheblich erweitert wird.
Der DeathNote Cluster, auch verfolgt als NukeSped oder Operation Dream Job, beinhaltet die Ausnutzung gefälschter Jobangebote, um Opfer zu täuschen, damit sie schädlichen Links folgen oder auf infizierte Dateien klicken, was zur Bereitstellung von Spionagemalware führt. Der erste Kampagnenstart geht auf die Jahre 2019-2020 zurück, wobei der Fokus zunächst auf Marktteilnehmern im Kryptowährungsbereich lag. Spitzen in der DeathNote-Aktivität wurden im August 2020 und Juli 2021 verzeichnet, wobei sich das Interesse der Hacker auf die Regierung, den Verteidigungs- und Ingenieursektor verlagerte. Basierend auf den neuesten Beobachtungen schätzen Sicherheitsexperten, dass osteuropäische Länder derzeit angegriffen werden, wobei alle Tarnungsdokumente und Stellenbeschreibungen im Zusammenhang mit Verteidigungsauftragnehmern und diplomatischen Einrichtungen von Lazarus erneuert werden.
Der Kryptowährungsvektor der Lazarus-Aktivität folgt typischerweise demselben bösartigen Muster. Die Hacker-Gruppe verlässt sich auf Bitcoin-Mining-Themen, um Makro-gespickte Dokumente zu platzieren und die Manuscrypt-Backdoor auf den kompromittierten Instanzen auszulösen.
Die Automobil- und Bildungssektoren werden über eine etwas andere Strategie angegriffen, die mit einer breiteren Kampagne gegen die Verteidigungsindustrie durch Lazarus verbunden ist. Solche Angriffe enden häufig mit der Bereitstellung von BLINGCAN- und COPPERHEDGE-Implantaten auf den Maschinen der Opfer.
Die alternative Angriffstötungskette, die mit DeathNote verbunden ist, verlässt sich auf eine legitime PDF-Reader-App namens SumatraPDF, um weitere bösartige Aktivitäten durchzuführen. Der Missbrauch legitimer Software wurde bei Angriffen gegen Organisationen in Lettland und Südkorea aufgezeichnet, was zur Bereitstellung von Backdoors und Informationsdieben führte. Es ist eine weit verbreitete Angriffsmethode des staatlich geförderten Akteurs, mit nachgewiesener Erfolgsbilanz in der Lieferkettenfähigkeit. Zum Beispiel wurde Lazarus für einen Angriff gegen den Enterprise-VoIP-Dienstanbieter 3CX im März 2023 verantwortlich gemacht.
Wachsende Mengen von Cyberangriffen durch die berüchtigte staatlich unterstützte Lazarus-APT-Gruppe und ihre zunehmende Komplexität erfordern eine Ultra-Reaktionsfähigkeit von Cyberverteidigern. Verlassen Sie sich auf SOC Prime, um vollständig mit Erkennungsinhalten ausgestattet zu sein, die APT-bezogene Tools und Angriffe adressieren. Greifen Sie auf über 1000 Regeln zu, um Verhaltensweisen zu erkennen, die mit staatlich geförderten Akteuren verbunden sind. Erhalten Sie über 200 Sigma-Regeln kostenlos unter https://socprime.com/ oder erhalten Sie die gesamte Liste einschlägiger Erkennungsalgorithmen, indem Sie die On-Demand-Subscription wählen, die auf Ihre Sicherheitsbedürfnisse zugeschnitten ist unter https://my.socprime.com/pricing.
