Lazarus APT apunta a organizaciones japonesas con malware VSingle y ValeforBeta
Tabla de contenidos:
Los investigadores de seguridad están observando una actividad maliciosa en curso lanzada por el infame grupo Lazarus APT contra organizaciones japonesas. La mayoría de las infecciones siguen la misma rutina y dependen de muestras de malware VSingle y ValeforBeta.
Análisis de VSingle y ValeforBeta
The última investigación de Shusei Tomonaga muestra que el malware VSingle actúa como un bot HTTP diseñado para descargar y ejecutar segundasetapas de cepas maliciosas en la instancia objetivo. Una vez instalado, el malware lanza Explorer, oculta su actividad nefasta con la ayuda de la inyección DLL y se comunica con el servidor de comando y control (C&C) del atacante para recibir más instrucciones. La funcionalidad de VSingle es bastante simple y permite al malware descargar y ejecutar complementos, ejecutar código arbitrario, enviar información adicional y cargar archivos a la máquina bajo ataque.
ValeforBeta también es un bot HTTP que obtiene una funcionalidad aún más simple en comparación con VSingle. ValeforBeta es capaz de ejecutar código, cargar o descargar archivos desde la red remota y transmitir datos del sistema al servidor de los atacantes.
Ambas cepas maliciosas observadas sirven para obtener un punto de apoyo y cargar herramientas de ataque adicionales en la instancia infectada. Notablemente, durante el proceso de infección, los hackers de Lazarus también aplican el software legítimo 3proxy, Stunnel y Plink para establecer comunicaciones con el servidor del atacante, realizar un reconocimiento básico y controlar los recursos objetivo.
Detección de Ataques de Lazarus
Para defenderse contra la actividad maliciosa asociada con el malware VSingle y ValeforBeta, nuestro desarrollador activo de Bounty de Amenaza, Emir Erdogan, lanzó una regla Sigma para la comunidad: https://tdm.socprime.com/tdm/info/VNJk0ZZEmheD/AA2UbngBFLC5HdFVMDc5
La regla tiene traducciones a las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Tácticas: Ejecución, Movimiento Lateral, Comando y Control,
Técnicas: Interfaz de Línea de Comando (T1059), Copia de Archivos Remotos (T1544)
Actor: Grupo Lazarus
El grupo Lazarus APT patrocinado por el estado norcoreano está extremadamente activo en el lanzamiento de diversas campañas maliciosas dirigidas a la ganancia financiera y la intervención política. Desde 2009, Lazarus ha estado relacionado con varios incidentes sonoros de ciberseguridad, incluidas la violación de Sony Pictures, el atraco al Banco Central de Bangladesh y el ataque WannaCry. El brote de COVID-19 amplió los vectores de intrusión y la lista de objetivos para el actor respaldado por la nación. El año pasado, el grupo estuvo involucrado en ataques contra múltiples intercambios de criptomonedas y firmas farmacéuticas que desarrollan vacunas. El año 2021 se caracterizó por operaciones maliciosas contra contratistas aeroespaciales y de defensa durante la Operación Dream Job. Para identificar la actividad maliciosa vinculada al APT de Lazarus y responder proactivamente a posibles ciberataques, revise el contenido de detección disponible en Threat Detection Marketplace.
¿Buscando el mejor contenido SOC compatible con sus herramientas SIEM, EDR y NTDR en uso? Obtenga una suscripción gratuita a nuestro Threat Detection Marketplace y alcance 100K+ reglas de detección y respuesta fácilmente convertibles a varios formatos. ¿Disfruta codificar y quiere contribuir a la primera biblioteca de contenido SOC de la industria? Únase a nuestro Programa de Bounty de Amenaza!
