Detección de Actividad del Grupo BlueNoroff: Actores de Amenazas Aplican Métodos Innovadores para Eludir la Protección de Windows Mark-of-the-Web (MoTW)
Tabla de contenidos:
BlueNoroff, que es parte del mayor Grupo Lazarus, es un colectivo de hackers motivados financieramente que busca obtener beneficios financieros de sus capacidades ofensivas. El grupo, conocido por robar criptomonedas y aplicar comúnmente documentos de Word y archivos LNK para la intrusión inicial, ha estado aprovechando nuevos métodos adversarios. En los ataques más recientes, BlueNoroff experimenta con nuevos tipos de archivos para la entrega de malware, permitiendo a los actores de amenazas evadir las características de seguridad Windows Mark-of-the-Web (MoTW).
Detecta los Intentos Maliciosos de BlueNoroff para Evadir la Protección MoTW de Windows
Respaldado por una fuerte motivación financiera y una serie de exitosos ciberataques, el APT BlueNoroff está expandiendo los horizontes de sus capacidades ofensivas al experimentar con nuevos métodos adversarios. La plataforma Detection as Code de SOC Prime está enfocada en ayudar a los defensores cibernéticos a mantenerse al día en el panorama de amenazas cibernéticas y defenderse proactivamente contra amenazas emergentes. A comienzos de 2023, la plataforma lanzó un conjunto de reglas Sigma curadas para detectar la actividad maliciosa del grupo BlueNoroff que empleó técnicas más avanzadas para evadir la detección en los últimos ciberataques, incluyendo intentos de burlar las características de seguridad Windows MoTW. Sigue el enlace a continuación para acceder instantáneamente a estas nuevas detecciones etiquetadas con MITRE ATT&CK® y escritas por nuestros talentosos desarrolladores de Threat Bounty, Aytek Aytemur and Nattatorn Chuensangarun:
Reglas Sigma para detectar nuevos métodos aplicados en los últimos ataques del grupo BlueNoroff
The Regla Sigma por Aytek Aytemur detecta un proceso sospechoso de rundll32, que ejecuta marcoor.dll, un archivo malicioso asociado con la actividad adversaria del grupo BlueNoroff. Esta detección aborda la táctica de Ejecución con el Intérprete de Comandos y Scripts (T1059) y Ejecución de Usuario (T1204) como sus principales técnicas junto con la táctica de Evasión de Defensa con la correspondiente técnica de Ejecución de Proxy de Binario del Sistema (T1218).
Dos nuevas reglas Sigma por Nattatorn Chuensangarun de la lista mencionada anteriormente también abordan la táctica de Ejecución representada por la técnica de Intérprete de Comandos y Scripts (T1059). Todos los algoritmos de detección del conjunto de reglas dedicado son compatibles con las tecnologías líderes de SIEM, EDR y XDR.
Investigadores y practicantes de ciberseguridad ansiosos por avanzar en sus habilidades de Ingeniería de Detección son bienvenidos a aprovechar el poder de la defensa cibernética colectiva contribuyendo con sus propias reglas Sigma etiquetadas con MITRE ATT&CK. Únete a nuestro Programa Threat Bounty para ver el poder de Sigma combinado con ATT&CK en acción, codificar tu futuro CV y ganar recompensas financieras recurrentes por tu contribución.
Para mantener el ritmo del siempre cambiante panorama de amenazas y identificar oportunamente las cepas maliciosas atribuidas a la actividad del grupo BlueNoroff, haz clic en el Explorar Detecciones botón a continuación. Esto te llevará instantáneamente a la lista completa de reglas Sigma enriquecidas con metadatos relevantes para acelerar la investigación de amenazas cibernéticas y mejorar tus capacidades de defensa cibernética.
Actividad Adversaria del Grupo BlueNoroff: Análisis de Patrones de Comportamiento Observados en los Últimos Ataques
El APT BlueNoroff de Corea del Norte, que representa un subgrupo del infame Grupo Lazarus, también conocido como APT38, es reconocido en el ámbito de las amenazas cibernéticas como un colectivo de hackers que principalmente apunta a organizaciones financieras para robar criptomonedas. La estrategia clásica de BlueNoroff implica el uso de un vector de ataque de phishing que busca comprometer entidades financieras e interceptar las transferencias de criptomonedas de la empresa.
Investigadores de ciberseguridad han observado recientemente la adopción de nuevas cepas maliciosas en el conjunto de herramientas adversarias del grupo y el uso de nuevos tipos de archivos para una entrega de malware más eficiente. BlueNoroff creó más de 70 dominios falsos de organizaciones de capital de riesgo y bancos para atraer a los empleados de la empresa a activar una cadena de infección y permitir a los hackers obtener sus beneficios financieros. La mayoría de los dominios fraudulentos se hacen pasar por aquellos que identifican entidades financieras japonesas, lo que indica el creciente interés de los hackers por comprometer organizaciones japonesas en el sector industrial correspondiente.
En los últimos ataques, BlueNoroff experimenta con estrategias adversarias más sofisticadas para mejorar la eficiencia de eludir las capacidades de seguridad de Windows y perturbar las actividades de defensa cibernética. Se ha observado a los actores de amenazas aprovechando múltiples scripts, como Visual Basic y Windows Batch, y aplicando formatos de archivo ISO y VHD para propagar la infección. El grupo ha aprovechado los archivos de imagen para evadir la marca MoTW de Windows y evitar la detección. Esta última es una característica de seguridad de Windows que muestra un mensaje de advertencia cuando un usuario intenta abrir un archivo desconocido o sospechoso descargado de la web.
Las organizaciones progresistas están adoptando la estrategia proactiva de ciberseguridad para estar completamente equipadas con capacidades de defensa cibernéticas y frustrar eficientemente ataques de cualquier escala por el notorio Grupo Lazarus. Aprovecha 445 reglas Sigma para detectar ataques del APT Lazarus gratis o cáptura más de 2,400+ detecciones que abordan TTPs relevantes con On Demand en https://my.socprime.com/pricing/.
