Operation Blacksmith-Aufdeckung: Lazarus APT nutzt CVE-2021-44228-Exploit zur Verbreitung neuer DLang-basierter Malware-Varianten
Inhaltsverzeichnis:
Angreifer richten ihre Augen auf eine berüchtigte Sicherheitslücke in der Log4j-Java-Bibliothek, die als CVE-2021-44228, alias Log4Shell, verfolgt wird, selbst Jahre nach ihrer Veröffentlichung. Eine neue Kampagne, genannt „Operation Blacksmith“, beinhaltet die Ausnutzung der Log4Shell-Schwachstelle, um neue schädliche Stämme in DLang zu verbreiten, darunter neuartige RATs. Die nordkoreanische APT Lazarus-Gruppe wird verdächtigt, hinter der neu entdeckten Operation Blacksmith zu stehen.
Erkennung von Aktivitäten der Operation Blacksmith im Zusammenhang mit Lazarus APT
Von der nordkoreanischen Regierung unterstützte APT-Gruppen stellen weiterhin Bedrohungen für globale Organisationen in verschiedenen Industriesektoren dar. Die berüchtigte Lazarus-Gruppe, die als erfahrenes und gut finanziertes Hacking-Kollektiv bekannt ist und seit 2009 Chaos anrichtet, taucht in der neuesten Operation Blacksmith-Kampagne wieder auf. Die SOC Prime Plattform stattet Verteidiger mit kuratierten Erkennungsalgorithmen aus, um Lazarus-Eindringlinge in der neuesten Kampagne rechtzeitig zu identifizieren. Folgen Sie dem untenstehenden Link, um Sigma-Regeln zu erhalten, die MITRE ATT&CK® zugeordnet sind, angereichert mit maßgeschneiderten Informationen und optimiert für Dutzende von Sicherheitsanalytik-Plattformen.
Sigma-Regeln zur Erkennung der Operation Blacksmith-Kampagne, die Lazarus APT zugeschrieben wird
Außerdem können sich Sicherheitsingenieure auf Erkennungen verlassen, um Angriffe durch Onyx Sleet alias Andariel APT, eine von Nordkorea staatlich geförderte Untergruppe, die unter dem Dach von Lazarus operiert, abzuwehren:
Sigma-Regeln zur Erkennung von Angriffen im Zusammenhang mit Andariel APT
Sigma-Regeln zur Erkennung von Angriffen im Zusammenhang mit Onyx Sleet
Klicken Sie Erkundung der Erkennungen , um den gesamten Erkennungsstack für Angriffe im Zusammenhang mit Lazarus zu erreichen, der entsprechend markiert ist. Tauchen Sie ein in umfangreiche Metadaten, einschließlich ATT&CK- und CTI-Verknüpfungen, für eine optimierte Bedrohungsforschung. Alternativ tauchen Sie ein in kuratierte Erkennungen, um sich proaktiv gegen Hidden Cobra or APT38-Angriffe zu verteidigen, gefiltert nach den benutzerdefinierten Tags basierend auf der zugehörigen Akteur-Zuordnung.
Analyse der Operation Blacksmith: Einblicke in die Ausnutzung von CVE-2021-44228 zur Implementierung neuer Malware basierend auf Telegram
Das von der Regierung unterstützte Hacking-Kollektiv Lazarus (alias APT38, Dark Seoul oder Hidden Cobra) aus Nordkorea setzt weiterhin die zwei Jahre alte CVE-2021-44228, auch bekannt als Log4Shell-Schwachstelle , ein, um drei neue Malware-Stämme zu verbreiten, die in der Programmiersprache DLang entwickelt wurden. Diese neu identifizierten Malware-Familien umfassen zwei bisher unbekannte RATs namens NineRAT und DLRAT, begleitet von einem bösartigen Downloader namens BottomLoader. Die neuartige Kampagne entdeckt von Cisco Talos hat unter dem Namen „Operation Blacksmith“ Aufmerksamkeit erregt, wobei die Fertigungs-, Landwirtschafts- und physische Sicherheitssektoren die Hauptziele der Angreifer sind.
Die Angriffskette beginnt mit der erfolgreichen Ausnutzung von CVE-2021-44228, die als Einfallstor zu den Zielservern dient. Nach dem ersten Zugriff führt Lazarus eine vorsorgliche Aufklärung durch, die dann den Weg für das Einbringen eines maßgeschneiderten Implants in das kompromittierte System ebnet. Danach setzt Lazarus HazyLoad ein, ein Proxy-Werkzeug, das direkten Zugriff auf das kompromittierte System ermöglicht, wodurch die wiederholte Ausnutzung von CVE-2021-44228 überflüssig wird. Die Hacker richten auch ein zusätzliches Benutzerkonto mit Administratorrechten ein. Nach dem erfolgreichen Extrahieren von Zugangsdaten installiert Lazarus NineRAT auf den betroffenen Systemen. NineRAT nutzt die Telegram-API für die C2-Kommunikation. Die Malware enthält einen Dropper, der auf Persistenz ausgelegt ist und die primären Binärdateien initialisiert. Es ist sehr wahrscheinlich, dass Telegram für die Erkennungsumgehung verwendet wird, indem ein legitimer Dienst für C2-Kommunikation genutzt wird.
Die nicht auf Telegram basierende Malware, bekannt als DLRAT, ermöglicht es den Lazarus-Hackern, zusätzliche Nutzlasten auf kompromittierten Systemen zu implementieren. Bei der ersten Aktivierung auf einem Gerät führt DLRAT vordefinierte Befehle aus, um grundlegende Systemdaten zu sammeln, die weiter an den C2-Server gesendet werden.
Die dritte in der Blacksmith-Operation verwendete Malware namens BottomLoader ist ein DLang-basierter Downloader, der für die Systemaufklärung gedacht ist und Nutzlasten von einer vordefinierten URL über PowerShell abruft und ausführt. BottomLoader ermöglicht es Lazarus APT, Dateien vom betroffenen System auf den C2-Server zu übertragen und damit die operationelle Flexibilität zu erhöhen.
Talos-Forscher haben beobachtet, dass Lazarus in den letzten 18 Monaten RATs nutzte, die über unkonventionelle Technologien entwickelt wurden, darunter QtFramework, PowerBasic und zuletzt in DLang geschrieben.
Bemerkenswerterweise verfolgt Talos auch Ähnlichkeiten zwischen der neuesten Lazarus-Kampagne basierend auf den beobachteten TTPs des Gegners, die mit der nordkoreanischen, staatlich geförderten Gruppe Onyx Sleet (alias PLUTIONIUM), die auch als Andariel-APT-Gruppe verfolgt wird, übereinstimmen. Letztere ist allgemein bekannt als eine APT-Untergruppe, die unter dem Dach von Lazarus operiert.
Die Operation Blacksmith markiert eine bedeutende Änderung in den TTPs der Lazarus-Gruppe und zeigt die kontinuierliche Weiterentwicklung des Feind-Werkzeugkastens der böswilligen Akteure. Melden Sie sich bei der SOC Prime Plattform an, um Zugang zu über 6.000 Inhalten aus dem Threat Detection Marketplace-Repository zu erhalten, um bestehende und aufkommende APT-Angriffe jeglicher Größe proaktiv zu erkennen.
