El Grupo Lazarus Resurge, Explotando la Vulnerabilidad de Log4j y Diseminando MagicRAT
Tabla de contenidos:
Grupo Lazarus, también conocido como APT38, Dark Seoul, Hidden Cobra, y Zinc, ha ganado una reputación como un conglomerado de hackers criminales altamente calificados y bien financiados patrocinado por el estado, causando estragos desde 2009.
En la campaña más reciente, Lazarus desplegó un nuevo malware llamado MagicRAT después de explotar vulnerabilidades en las plataformas VMWare Horizon, como una de alto perfil vulnerabilidad de Log4j. El notorio APT dirigió esta serie de ataques a varias empresas energéticas en EE. UU., Japón y Canadá.
Detectar actividades del Grupo Lazarus
Para identificar posibles ataques y remediar el compromiso de spear phishing nuevo de Lazarus, opte por descargar un lote de reglas Sigma gratuitas. El contenido fue lanzado por nuestro atento desarrollador de Recompensas de Amenazas Emir Erdogan:
Uso Altamente Probable del RAT del Grupo APT Lazarus (vía creación de procesos)
The Las reglas Sigma son fácilmente convertibles a 26 soluciones SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® v.10.
La lista completa de detecciones relacionadas con el APT Lazarus está disponible en el Motor de Búsqueda de Amenazas Cibernéticas, la primera herramienta gratuita de la industria para información detallada sobre amenazas cibernéticas y contexto relevante con un rendimiento de búsqueda en sub-segundos. El motor de búsqueda de SOC Prime, potenciado por la innovadora plataforma Detection as Code, ayuda a los profesionales de SOC a agilizar las operaciones de detección de amenazas al servir como una fuente instantánea de reglas Sigma e información contextual relevante, incluidas las referencias MITRE ATT&CK, visualización de tendencias de ataque e información de inteligencia de amenazas. Presione el botón Explorar Detecciones para aprender más.
Análisis de la Última Campaña de Ataques de Lazarus
Cisco Talos publicó una visión general de la nueva campaña maliciosa lanzada por el Grupo Lazarus de Corea del Norte. Los adversarios han introducido un nuevo implante personalizado: un troyano de acceso remoto escrito en C++. La pieza de malware, denominada MagicRAT, realiza reconocimiento del sistema, permite establecer persistencia mediante la creación de tareas programadas, y también permite a sus operadores ejecutar código arbitrario y modificar archivos. Además, el nuevo RAT obtiene cargas adicionales. Según los datos de investigación, los actores de amenazas utilizan muestras de MagicRAT junto con otros RATs personalizados, como TigerRAT. Los ejemplos estudiados fueron programados con el Marco Qt para complicar el análisis humano.
Basándonos en los ataques observados e informes de noticias, podemos derivar que este colectivo respaldado por la nación de Corea del Norte está expandiendo su alcance con una mayor dependencia en diferentes herramientas y técnicas, generando regularmente problemas para los profesionales de SOC.
Cada día, publicamos detecciones para las últimas amenazas, guiando a los profesionales de la seguridad a través del cambiante panorama de amenazas. Con un plan de suscripción bajo demanda , puede ahorrar tiempo y mejorar el rendimiento desbloqueando al instante el contenido de su elección. Súbase a las últimas tendencias y refuerce la resiliencia cibernética de su organización con soluciones específicas para la industria proporcionadas por SOC Prime.