Detección de Malware AppleJeus: APT de Lazarus Vinculado a Corea del Norte Difunde Cepas Maliciosas Haciéndose Pasar por Aplicaciones de Criptomonedas

[post-views]
diciembre 07, 2022 · 5 min de lectura
Detección de Malware AppleJeus: APT de Lazarus Vinculado a Corea del Norte Difunde Cepas Maliciosas Haciéndose Pasar por Aplicaciones de Criptomonedas

Un notorio grupo APT respaldado por Corea del Norte, Lazarus, amplía continuamente su superficie de ataque, aprovechando aplicaciones de criptomonedas fraudulentas para distribuir el malware AppleJeus. En esta última campaña del adversario, los hackers de Lazarus utilizan aplicaciones de criptomonedas falsas denominadas BloxHolder para instalar el malware AppleJeus, obtener acceso inicial a redes y robar activos criptográficos.

Durante los últimos cuatro años, el grupo APT Lazarus ha estado específicamente interesado en atacar negocios de criptomonedas y blockchain para obtener ganancias financieras. Por ejemplo, en abril de 2022, la campaña TradeTraitor de Lazarus salió a la luz apuntando a empresas de comercio, intercambio e inversión, empresas de juegos NFT o play-to-earn de criptomonedas, así como a tenedores individuales de billeteras de criptomonedas y NFTs.

Detectar el Malware AppleJeus 

El Grupo Lazarus es una organización de piratas informáticos notoria respaldada por el estado norcoreano. Este grupo APT ha estado en el radar desde al menos 2009 y se sospecha que está detrás de varias campañas de alto perfil, incluidas ciberataques, ciberespionaje y ataques de ransomware. Para defenderse proactivamente contra la última campaña de Lazarus que distribuye la versión mejorada del malware AppleJeus, opte por descargar un lote de reglas Sigma dedicadas desde la plataforma Detection as Code de SOC Prime: 

Reglas Sigma para detectar el malware AppleJeus por el grupo APT Lazarus

Todo el contenido de detección arriba está mapeado al marco de trabajo MITRE ATT&CK® y admite traducciones a más de 25 formatos de alerta y consulta de SIEM, EDR, BDP y XDR líderes en la industria. Los algoritmos de detección son proporcionados tanto por el equipo de SOC Prime como por nuestros experimentados desarrolladores de Threat Bounty, asegurando una variedad de reglas para coincidir con su perfil de amenaza y el kit tecnológico en uso.

Únete a nuestro Programa Threat Bounty para que los ciberdefensores puedan crear sus propias reglas Sigma, publicarlas en el mercado más grande del mundo de detección de amenazas y ganar dinero por su contribución. Con Threat Bounty de SOC Prime, literalmente puedes codificar tu CV, mientras adquieres conocimientos en Sigma & ATT&CK y perfeccionas habilidades en Caza de Amenazas e Ingeniería de Detección.

Hasta la fecha, la Plataforma SOC Prime agrega una variedad de reglas Sigma que detectan herramientas y técnicas de ataque asociadas con el colectivo APT Lazarus. Presiona el botón Explorar Detecciones para verificar los algoritmos de detección acompañados de las referencias correspondientes de ATT&CK, enlaces de inteligencia de amenazas y otros metadatos relevantes.

Explorar Detecciones

Descripción del Malware AppleJeus: Análisis de Ataque de la Actividad Más Reciente del APT Lazarus

El grupo APT Lazarus patrocinado por el estado de Corea del Norte también conocido como HIDDEN COBRA está detrás de una ola de nuevos ciberataques dirigidos a usuarios de redes y criptomonedas mediante la distribución de aplicaciones falsas de criptomonedas bajo el nombre BloxHolder y la propagación del malware AppleJeus en los sistemas comprometidos.

El colectivo de hackers ha estado distribuyendo AppleJeus desde 2018 para robar criptomonedas de usuarios objetivo. En febrero de 2021, CISA, FBI y el Departamento del Tesoro emitieron un aviso conjunto con los detalles del malware AppleJeus junto con recomendaciones de mitigación. El grupo APT Lazarus responsable de la entrega de este malware apuntó a usuarios individuales y organizaciones a nivel mundial en múltiples sectores de la industria, incluidos intercambios de criptomonedas e instituciones financieras, intentando robar activos de criptomonedas. Según este aviso, el colectivo de hackers respaldado por la nación de Corea del Norte estaba aprovechando hasta siete variantes diferentes de AppleJeus desde 2018, mejorándolas y enriqueciéndolas constantemente con capacidades mejoradas.

Investigadores de ciberseguridad de Volexity fueron los primeros en observar una nueva actividad de los actores de la amenaza Lazarus en junio de 2022, instalando AppleJeus usando archivos de documentos de Microsoft Office armados como señuelos para atraer la atención de los usuarios de criptomonedas objetivo. Los hackers registraron un nuevo nombre de dominio, bloxholder[.]com, para una plataforma de intercambio de criptomonedas. La investigación ha mostrado que este último era un clon puro de otro sitio web legítimo. Los investigadores de ciberseguridad se toparon con este sitio web falso de BloxHolder, que dio nombre a la campaña maliciosa relacionada, después de observar la cepa maliciosa de AppleJeus dentro del archivo MSI intentando atraer a usuarios de criptomonedas a descargar la app cripto y desencadenar la cadena de infección. Tan pronto como el archivo señuelo instala la aplicación legítima, crea una tarea programada y deja caer archivos maliciosos en la carpeta del sistema, lo que resulta en el despliegue de la nueva variante del malware AppleJeus.

En octubre de 2022, el colectivo de hackers avanzó en sus campañas maliciosas al aprovechar documentos de Microsoft Office en lugar del instalador MSI para entregar AppleJeus. En los últimos ciberataques, los hackers de Lazarus también han mejorado sus capacidades ofensivas aplicando una técnica de carga lateral de DLL encadenada para cargar malware, lo que les permite evadir la detección. Además, en la campaña más reciente que propaga el malware AppleJeus, todas las cadenas y las llamadas API están ofuscadas mediante el uso de un algoritmo de cifrado personalizado, lo que plantea otro desafío para que los ciberdefensores identifiquen oportunamente la infección.

El creciente volumen de ciberataques por parte del infame grupo APT Lazarus respaldado por el estado y su creciente sofisticación requieren una ultra-responsividad por parte de los ciberdefensores. Navega por socprime.com para buscar reglas Sigma contra amenazas actuales y emergentes, incluyendo malware que afecta a usuarios de criptomonedas, y alcanzar más de 9,000 ideas para Ingeniería de Detección y Caza de Amenazas junto con un contexto completo de amenazas cibernéticas. O mejora On Demand como parte de nuestra oferta de Cyber Monday válida hasta el 31 de diciembre, y obtén hasta 200 reglas Sigma premium de tu elección además del conjunto de detección disponible en el paquete que elijas.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación 6 min de lectura Últimas Amenazas Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación by Veronika Telychko Inteligencia de Amenazas con IA 15 min de lectura SIEM y EDR Inteligencia de Amenazas con IA by Veronika Telychko CyberLock, Lucky_Gh0$t y la Detección de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware 7 min de lectura Últimas Amenazas CyberLock, Lucky_Gh0$t y la Detección de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware by Veronika Telychko
Todas las noticias