Die Lazarus APT-Gruppe ist eine der wenigen staatlich geförderten Cyber-Spionageeinheiten, die auch finanziell motivierte Cyberkriminalität durchführen und es ist der profitabelste Bedrohungsakteur in der Kryptowährungsszene, dem es gelungen ist, etwa 2 Milliarden Dollar zu stehlen. Allein im Jahr 2017 stahl die Gruppe mehr als eine halbe Milliarde Dollar in Kryptowährung, sodass ihr Interesse an Händlern und Börsen nicht nachlässt, und sie haben kürzlich einen weiteren Angriff auf eine Kryptowährungsorganisation gestartet.
Diesmal nutzte die Lazarus APT einen bereits bewährten Trick und führte eine Spear-Phishing-Kampagne mit einem gefälschten LinkedIn-Stellenangebot durch, das auf einen Systemadministrator in einer gezielten Kryptowährungsorganisation abzielte. Das Opfer erhielt das bösartige Dokument mit einem Makro, das eine .LNK-Datei erstellt, um über die Ausführung von mshta.exe einen bit.ly-Link aufzurufen. Dann sendet das Skript Betriebsinformationen an einen C&C-Server und empfängt ein PowerShell-Skript, das Nutzdaten beschaffen kann, die von der Lazarus APT in dieser Kampagne verwendet werden.
Emir Erdogan entwickelte die exklusive Regel, die die Erkennung von TTPs ermöglicht, die von der Lazarus-Gruppe bei diesem Angriff genutzt wurden: https://tdm.socprime.com/tdm/info/tjZGrUO4B5k0/fFr1KXQBPeJ4_8xcVrLz/?p=1
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Ausführung, Verteidigungsevasion
Techniken: Befehlszeilenschnittstelle (T1059), Indikatorentfernung auf dem Host (T1070), Registrierung ändern (T1112)
Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty-Programm bei um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.
