NukeSped-Erkennung: Warnung vor NukeSped-Malware, die Südkorea trifft
Inhaltsverzeichnis:
Staatlich betriebener Bedrohungsakteur Lazarus schlägt wieder zu, diesmal wird die berüchtigte Log4Shell Schwachstelle in VMware Horizons-Servern ausgenutzt. In dieser Kampagne nutzen die Angreifer Horizon und zielen mit einer NukeSped-Backdoor auf die Republik Korea. Erste dokumentierte Exploits stammen aus dem Januar 2022, wobei Lazarus-Hacker seit Mitte Frühjahr 2022 bei der Ausnutzung von Log4Shell in VMware Horizons-Produkten gesichtet wurden. Fast ein halbes Jahr später sind diese Exploits immer noch ein brennendes Problem.
NukeSped erkennen
Nutzen Sie eine neue Sigma-Regel eines engagierten Threat Bounty Entwicklers Sohan G, die im Threat Detection Marketplace-Repository der Plattform von SOC Prime veröffentlicht wurde. Die Regel ermöglicht die Erkennung möglicher bösartiger Aktivitäten im Zusammenhang mit der NukeSped-Malware:
Die Erkennung ist für 20 SIEM-, EDR- und XDR-Plattformen verfügbar, angepasst an das neueste MITRE ATT&CK®-Framework v.10, das die Ausführungstaktik mit Command and Scripting Interpreter (T1059) als Haupttechnik adressiert.
Die weltweit führende Detection as Code-Plattform hat über 185K+ Erkennungsalgorithmen und Threat Hunting-Abfragen für mehrere Sicherheitsplattformen aggregiert. Klicken Sie auf die Erkennungen anzeigen -Taste, um in einer umfangreichen Bibliothek von Erkennungsinhalten zu stöbern. Möchten Sie Ihre eigenen Sigma-Regeln entwickeln, Ihre Threat Hunting-Geschwindigkeit erhöhen und zu globalen Threat Hunting-Initiativen beitragen? Treten Sie unserem Threat Bounty Programm bei!
Erkennungen anzeigen Threat Bounty beitreten
NukeSped Malware Analyse
Von Nordkorea gesponserte Bedrohungsakteure der Lazarus Group bleiben 2022 aktiv und erweitern kontinuierlich den Umfang ihrer Angriffe, zumeist auf Länder in der Asien-Pazifik-Region (APAC) abzielend. Dieses Mal nutzen die Angreifer eine berüchtigte Log4Shell Schwachstelle aus, die die Apache Log4j Java-Logging-Bibliothek betrifft, die seit Dezember 2021 von mehreren Bedrohungsakteuren aktiv ausgenutzt wird.
Das Analyseteam von Ahnlab ASEC berichtete, dass Lazarus-Hacker den Apache Tomcat-Dienst von VMware Horizon verwenden, um ein PowerShell-Skript auszuführen, das die Log4j ausnutzt. Der PowerShell-Befehl installiert die Backdoor auf dem kompromittierten Server, wo sie für Cyber-Spionage verwendet wird, z.B. beim Stehlen sensibler Daten, Tastatureingaben erfassen, Screenshots machen und bösartige Nutzlasten auf das Zielsystem spielen, wie z.B. konsolebasierte Informationsdiebstahl-Malware.
Die in dieser Kampagne verwendete Malware-Variante ist in C++ geschrieben und wird von Lazarus mindestens seit 2020 genutzt. Laut den Forschern haben sich die Gegner in dieser Kampagne manchmal für den Einsatz von Jin Miner entschieden, einem Cryptocurrency Miner-Bot, um Horizon-Hosts anzugreifen.
Bereit, die SOC Prime Plattform zu erkunden und die Detection as Code in Aktion zu sehen? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Programm bei, um Ihre eigenen Inhalte zu erstellen und mit der Community zu teilen.
