Lazarus zielt auf chemischen Sektor und IT-Industrie Südkoreas: Sigma-basierter Erkennungsinhalt

[post-views]
April 20, 2022 · 5 min zu lesen
Lazarus zielt auf chemischen Sektor und IT-Industrie Südkoreas: Sigma-basierter Erkennungsinhalt

Eine berüchtigte APT-Gruppe, Lazarus, von der nordkoreanischen Regierung gesponsert, vergrößert ihre Angriffsfläche und zielt auf Entitäten im Chemiesektor sowie auf IT-Organisationen, hauptsächlich in Südkorea. Forscher glauben, dass die neueste Kampagne ein Teil von Lazarus‘ Operation Dream Job -Plänen ist, die im August 2020 entdeckt wurden.

Lazarus Aktivitätserkennung

SOC Prime hat eine Reihe von Sigma-Regeln veröffentlicht, die auf die Erkennung von Lazarus APT-Aktivität abzielen, erstellt von unseren erfahrenen Threat Bounty-Entwicklern Osman Demir and Nattatorn Chuensangarun, die stets nach neuen Bedrohungen Ausschau halten. Nutzen Sie die folgenden Erkennungsinhalte, um Ihr System auf schädliche Funde im Zusammenhang mit den jüngsten Angriffen von Lazarus APT zu durchsuchen:

Verdächtige Lazarus APT-Persistenz durch Hinzufügen geplanter Aufgaben (via security) – spürt die Präsenz der Lazarus APT-Gruppe im Zusammenhang mit der Erstellung geplanter Aufgaben auf dem System des Opfers auf

Mögliche Lazarus-Gruppenaktivität durch Erkennung zugehöriger Dateien [Zielt auf die Chemieindustrie] (via file_event) – diese Regel offenbart Lazarus-Aktivitäten, die mit relevanten schädlichen Dateien verbunden sind

Mögliche Lazarus-Gruppenausführung, um Screenshots (SiteShoter) einer Webseite zu machen (via process_creation) – entdeckt Lazarus-Aktivität, die mit der Nutzung schädlicher .dat-Dateien verbunden ist

Mögliche Lazarus-Gruppenausführung durch Einspeisen in System Management Software INISAFE Web EX Client (via process_creation) – identifiziert die Spuren, die Lazarus-Hacker hinterlassen, indem sie Dll-Dateien in den INISAFE Web EX Client einspeisen

Verdächtige Lazarus APT-Ausführung durch Erstellung eines Systemdienstes (via process_creation) – diese Regel erkennt die Aktivität der Lazarus APT-Gruppe im Zusammenhang mit der Erstellung von Systemdiensten auf dem System des Opfers

Mögliche Lazarus-Gruppenpersistenz durch erstellte geplante Aufgaben zielt auf den Chemiesektor (via process_creation) – die Erkennung verfolgt die Lazarus-Gruppenaktivität, die durch die Versuche der Gegner gekennzeichnet ist, ihre Persistenz sicherzustellen.

Verfolgen Sie die Updates zu Erkennungsinhalten im Zusammenhang mit Lazarus APT im Threat Detection Marketplace-Repository der SOC Prime-Plattform hier. Sind Sie ein Bedrohungsjäger, der an Sigma- oder Yara-basierten Malware-Erkennungen arbeitet? Treten Sie unserem Threat Bounty-Programm bei, um Ihre Regeln über das Threat Detection Marketplace-Repository zu teilen und erhalten Sie Gemeinschaftsunterstützung mit zahlreichen anderen Vorteilen, einschließlich der Möglichkeit, dies in einen erheblichen Einkommensstrom zu verwandeln.

Erkennungen anzeigen Threat Bounty beitreten

Operation Dream Job

Lazarus-Aktivität mit dem Codenamen Operation Dream Job beinhaltet das Ausnutzen gefälschter Stellenangebote, um Opfer dazu zu bringen, schädliche Links zu folgen oder infizierte Dateien zu klicken, was zur Bereitstellung von Spionagemalware führt. Symantec Forscher nannten diesen Zweig der Lazarus-Aktivität Pompilus. Der Start der Kampagne geht auf den Sommer 2020 zurück.

Die Spitzen in der Operation Dream Job Aktivität wurden im August 2020 und Juli 2021 bemerkt, wobei die vorherigen Kampagnen die Regierung, Verteidigung und Ingenieurwesen-Sektoren anvisierten. Die aktuelle Kampagne begann Anfang 2022 und ist noch im Gange, wobei dieselben Werkzeuge und Techniken wie in den vorhergehenden „Schwester“-Kampagnen verwendet werden.

Lazarus-Gruppe’s letzte Kill-Chain-Angriffsanalyse

Die staatlich geförderte, mit Nordkorea in Verbindung stehende APT steht seit mindestens 2009 im Rampenlicht und ist in hochkarätige Angriffe wie Cyber-Spionagekampagnen involviert. Zum Jahreswechsel 2022 wurde die Lazarus-Gruppe bei einem Spear-Phishing-Angriff beobachtet, der Windows Update und GitHub C&C-Server nutzte, um Malware zu verbreiten. In unmittelbarer Folge des ersten Angriffswurde berichtet, dass Lazarus-Hacker anschließend versuchten, Windows Update und GitHub zu missbrauchen, um Erkennungen mit der Waffe schädlicher Makros zu umgehen.

Symantec-Bedrohungsjäger haben kürzlich die laufende Cyber-Spionagekampagne enthüllt, die auf Südkoreas Chemieindustrie und IT-Sektor abzielt, welche scheinbar eine Fortsetzung der berüchtigten Malware-Kampagne mit dem Codenamen Operation Dream Job ist, die 2020 begann. Ähnliche Werkzeuge und IoCs, die in beiden Kampagnen entdeckt wurden, dienen als plausibler Beweis, um sie zu verknüpfen. Die ersten Anzeichen für eine neue Welle von Cyberangriffen, die mit der Operation Dream Job Aktivität in Verbindung stehen, reichen bis Januar 2022 zurück, als Symantec Organisationen, hauptsächlich im Chemiesektor, ansprach, wachsam vor potenziellen Cyberangriffen durch Lazarus APT zu bleiben, die darauf abzielen, geistiges Eigentum zu stehlen. Bemerkenswerterweise kam die Warnung von Symantec zu Lazarus am selben Tag heraus, an dem die US-Regierung eine Belohnung von 5 Millionen Dollar für relevante Daten aussetzte, die zur Störung von nordkoreanischen Bemühungen, Sanktionen zu umgehen, beitragen könnte.

Das erste Element der Kill-Chain ist der Erhalt und die Bereitstellung der bösartigen HTM-Datei auf dem System des Opfers, mit ihrer anschließenden Einbettung in die Management-Software INISAFE Web EX Client. Die in der Infektionskette verwendete DLL-Datei ist normalerweise ein trojanisiertes Werkzeug, das eine zusätzliche Nutzlast von einem C&C-Server herunterlädt und startet, mit einem bestimmten URL-Parameter key/values ‘prd_fld=racket.

Forscher enthüllten die seitliche Bewegung im Zielnetzwerk unter Verwendung von Windows Management Instrumentation (WMI) zusammen mit Anmeldeinformations-Dumping und geplanten Aufgaben, die so eingerichtet sind, dass sie als bestimmter Benutzer ausgeführt werden. Darüber hinaus haben Lazarus-Hacker IP-Protokollierungstools eingesetzt, das WakeOnLAN-Protokoll, um den Computer fernzuschalten oder einzuschalten, das File Transfer Protocol (FTP), das unter dem MagicLine-Prozess ausgeführt wird, und weitere Tools.

The Operation Dream Job Kampagnen sind seit ein paar Jahren im Gange, wobei die gegnerischen Taktiken immer noch effektiv sind und eine ernsthafte Bedrohung für Organisationen in mehreren Branchen darstellen. Daher kann die Umsetzung eines proaktiven Cybersicherheits-Ansatzes und die Verbesserung der Cybersicherheits-Haltung helfen, den ausgeklügelten APT-Angriffen solchen Ausmaßes standzuhalten. Treten Sie SOC Primes Detection as Code Plattform bei, um einen Schritt voraus zu bleiben und Ihre Cyber-Abwehrfähigkeiten auf das nächste Level zu heben.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards Übersetzung von Sigma in 48 Sprachen 2 min zu lesen SOC Prime Plattform Übersetzung von Sigma in 48 Sprachen by Steven Edwards
Alle Nachrichten