Threat Hunting Inhalt: TAINTEDSCRIBE Trojaner

Letzte Woche veröffentlichten CISA, FBI und DoD Malware-Analyseberichte über kürzlich entdeckte Werkzeuge der berüchtigten Lazarus-Gruppe, die im Interesse der nordkoreanischen Regierung operieren. Die Malware-Varianten, genannt COPPERHEDGE, TAINTEDSCRIBE und PEBBLEDASH, können für Aufklärung und das Löschen vertraulicher Informationen auf Zielsystemen verwendet werden. Die TAINTEDSCRIBE-Malware wird als Backdoor-Implantat verwendet, getarnt als Microsofts Narrator. Die Lazarus-Gruppe nutzt sie, um bösartige Module vom C&C-Server herunterzuladen, Dateien herunterzuladen und auszuführen, den Windows-Kommandozeileninterpreter zu aktivieren sowie Prozesse zu erstellen und zu beenden.

Die Lazarus-Gruppe (auch bekannt als Hidden Cobra) ist einer der gefährlichsten Bedrohungsakteure, die sowohl finanziell motivierte Angriffe als auch Cyber-Spionage-Kampagnen durchführen. Angreifer konnten etwa 2 Milliarden US-Dollarstehlen. In mehreren Fällen nutzte die Gruppe die TrickBot-Malware (das Anchor-Projekt) um zunächst in die Zielorganisation einzudringen. 

Neue Threat-Hunting-Regel von Ariel Millahuel deckt die Aktivitäten der Lazarus-Gruppe auf, die den TAINTEDSCRIBE-Trojaner zur Aufrechterhaltung der Persistenz in Opfern-Netzwerken und für weitere Netzwerkausnutzung verwenden: https://tdm.socprime.com/tdm/info/1Lkj80bX8dHN/-eZsLHIBv8lhbg_ix9AB/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Persistenz, Privilegien-Eskalation

Techniken: Startobjekte (T1165)

Sie können mehr über die von der Lazarus-Gruppe verwendeten Taktiken erfahren und weitere Inhalte zur Erkennung in der MITRE ATT&CK-Sektion auf dem Threat Detection Marketplace finden: https://tdm.socprime.com/att-ck/