Contenido de Detección: Malware APT38

Recientemente publicamos una regla para descubrir una de las herramientas más recientes del notorio grupo APT38 más conocido como Lazarus o Hidden Cobra. Y es hora de seguir publicando contenido para descubrir a este sofisticado grupo cibercriminal. En el artículo de hoy, proporcionaremos los enlaces a contenido de detección reciente de uno de los primeros participantes en el Programa de Recompensas de Amenazas de SOC Prime – Lee Archinal. Lee publicó dos reglas que detectan malware Bitsran and Bistromath utilizado por APT38 en ataques recientes.

Bistromath es un RAT completo que utiliza un implante para la gestión, control y reconocimiento estándar del sistema. La infección inicial se lleva a cabo a través de un ejecutable malicioso. Las comunicaciones de red están encriptadas mediante XOR. Las muestras descubiertas de Bistromath intentan evadir el análisis mediante sandboxes comunes a través de múltiples comprobaciones de artefactos (presencia de dispositivos específicos, entradas de registro, procesos, archivos). El malware es capaz de manipulación de archivos y procesos, exfiltración de datos, uso de shell CMD, espionaje, registro de teclas, secuestro de navegadores y más.

Bitsran es un componente de propagación y lanzamiento para la edición radical del ransomware Hermes 2.1. Está diseñado para ejecutar y propagar una carga útil maliciosa en la red de la víctima. Al ejecutarse, el malware coloca una copia de sí mismo en la ubicación TEMP. Luego, el malware enumera todos los procesos, buscando procesos antivirus específicos e intenta matarlos utilizando la herramienta de línea de comandos taskkill. После этого Bitsran extrae y ejecuta la carga útil final. Mientras esta carga útil adicional se ejecuta, el malware inicial intenta copiarse a otros dispositivos de la red. Dos cuentas de usuario están codificadas en el malware y se utilizan para establecer conexiones con los recursos compartidos SMB C$ en dispositivos Windows.

Malware Bistromath de APT38 (Comportamiento Sysmon) por Lee Archinal: https://tdm.socprime.com/tdm/info/Ao1O2R1cWwVm/8SEPW3IBjwDfaYjK3Kya/

Malware Bitsran de APT38 (Comportamiento Sysmon) por Lee Archinal: https://tdm.socprime.com/tdm/info/BlNBeqFYdOnr/O4wNW3IB1-hfOQirkGBq/

Las reglas tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Persistencia, Escalada de Privilegios

Técnicas: Claves de Registro de Ejecución / Carpeta de Inicio (T1060), Tarea Programada (T1053)