Vyveva: Neue maßgeschneiderte Malware im Lazarus-Toolkit
Inhaltsverzeichnis:
Experten von ESET haben eine neue bösartige Probe aufgedeckt, die von Lazarus APT eingesetzt wird, um ein nicht genanntes südafrikanisches Frachtunternehmen anzugreifen. Die Malware, mit dem Namen Vyveva, verfügt über beeindruckende Hintertürfähigkeiten, die von dem staatlich unterstützten Akteur für Aufklärung und Cyber-Spionage genutzt werden.
Vyveva Backdoor Übersicht
Vyveva ist eine maßgeschneiderte Bedrohung, die von der nordkoreanischen staatlich geförderten Gruppe in hochgradig zielgerichteten Operationen eingesetzt wird. Bis heute konnten Sicherheitsexperten nur einige wenige Opferfälle erkennen, die alle im Zusammenhang mit dem Cyberangriff gegen das Frachtunternehmen im Sommer 2020 stehen. Die Analyse zeigt jedoch, dass die Malware seit Ende 2018 in Lazarus-Kampagnen eingesetzt wird. Zudem teilt sie viele Code-Stämme mit der NukeSped-Familie, einer weiteren Bedrohung im Arsenal der Gruppe, was Experten ermöglicht, Vyveva nordkoreanischen Gegnern zuzuordnen.
ESET zeigt auf dass die Vyveva-Backdoor aus drei Hauptelementen besteht: Installer, Loader und bösartige Nutzlast. Die anfängliche Eindringmethode ist derzeit unerforscht, doch Sicherheitsexperten vermuten die Existenz eines geheimen bösartigen Droppers. Der Installer ist für die Persistenz des Loaders verantwortlich und legt die standardmäßige Nutzlast in die Registrierung ab. Des Weiteren entschlüsselt die Loader-Komponente die Nutzlast mit einem XOR-Verschlüsselungsalgorithmus, sodass sie bereit ist, eine Reihe bösartiger Funktionen auszuführen.
Laut den Forschern kann Vyveva 23 Befehle ausführen, darunter Dateiexfiltration, Datendumping, willkürliche Codeausführung und Timestomping. Obwohl die meisten Funktionen typisch sind, sind einige auf der Liste in der Lage, komplexe Aufgaben zu lösen. Zum Beispiel ermöglicht die Timestomping-Option das Kopieren von Zeit-Metadaten aus einer legitimen Datei. Und der Datei-Upload-Befehl kann Verzeichnisse exfiltrieren und Dateierweiterungsfilterung unterstützen. Bemerkenswert ist, dass Befehle asynchron gestartet und in separaten Threads ausgeführt werden können.
Vyveva Backdoor Erkennung
Um die bösartige Aktivität im Zusammenhang mit dem neuen Lazarus-Tool zu erkennen, können Sie eine Community Sigma-Regel von unserem produktiven Threat Bounty Entwickler herunterladen Kyaw Pyiyt Htet:
https://tdm.socprime.com/tdm/info/HKO3ESP3ZBoF
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix,
EDR: Sentinel One
MITRE ATT&CK:
Taktiken: Ausführung, Exfiltration, Tarnung der Verteidigung
Techniken: Ausführung über API (T0871), Exfiltration über Kommando- und Kontrollkanäle (T1041), Maskierung (T1036)
Außerdem können Sie Ihre proaktive Verteidigung gegen Lazarus-Einbrüche sichern, indem Sie die vollständige Liste maßgeschneiderter Erkennungen im Threat Detection Marketplace abrufen.
Erhalten Sie ein kostenloses Abonnement für den Threat Detection Marketplace, eine weltweit führende Plattform für Content-as-a-Service (CaaS), die Security Operations Teams dabei unterstützt, ihre Sicherheitsanalysen zu verbessern und Cyberangriffe in der frühesten Phase ihres Lebenszyklus abzuwehren. Möchten Sie Ihre Threat-Hunting-Fähigkeiten monetarisieren und zur branchenweit ersten SOC-Inhaltsbibliothek beitragen? Treten Sie unserem Threat Bounty Programm bei!
