El Grupo Lazarus Resurge, Explotando la Vulnerabilidad de Log4j y Diseminando MagicRAT

[post-views]
septiembre 12, 2022 · 3 min de lectura
El Grupo Lazarus Resurge, Explotando la Vulnerabilidad de Log4j y Diseminando MagicRAT

Grupo Lazarus, también conocido como APT38, Dark Seoul, Hidden Cobra, y Zinc, ha ganado una reputación como un conglomerado de hackers criminales altamente calificados y bien financiados patrocinado por el estado, causando estragos desde 2009.

En la campaña más reciente, Lazarus desplegó un nuevo malware llamado MagicRAT después de explotar vulnerabilidades en las plataformas VMWare Horizon, como una de alto perfil vulnerabilidad de Log4j. El notorio APT dirigió esta serie de ataques a varias empresas energéticas en EE. UU., Japón y Canadá.

Detectar actividades del Grupo Lazarus

Para identificar posibles ataques y remediar el compromiso de spear phishing nuevo de Lazarus, opte por descargar un lote de reglas Sigma gratuitas. El contenido fue lanzado por nuestro atento desarrollador de Recompensas de Amenazas Emir Erdogan:

Creación de Tareas Programadas Altamente Sospechosas de la Actividad del Grupo APT Lazarus (detección de MagicRAT vía creación de procesos)

Actividad Altamente Sospechosa del Grupo APT Lazarus (detección de MagicRAT vía creación de archivos)

Uso Altamente Probable del RAT del Grupo APT Lazarus (vía creación de procesos)

The Las reglas Sigma son fácilmente convertibles a 26 soluciones SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® v.10.

La lista completa de detecciones relacionadas con el APT Lazarus está disponible en el Motor de Búsqueda de Amenazas Cibernéticas, la primera herramienta gratuita de la industria para información detallada sobre amenazas cibernéticas y contexto relevante con un rendimiento de búsqueda en sub-segundos. El motor de búsqueda de SOC Prime, potenciado por la innovadora plataforma Detection as Code, ayuda a los profesionales de SOC a agilizar las operaciones de detección de amenazas al servir como una fuente instantánea de reglas Sigma e información contextual relevante, incluidas las referencias MITRE ATT&CK, visualización de tendencias de ataque e información de inteligencia de amenazas. Presione el botón Explorar Detecciones para aprender más.

botón Explorar Detecciones  

Análisis de la Última Campaña de Ataques de Lazarus

Cisco Talos publicó una visión general de la nueva campaña maliciosa lanzada por el Grupo Lazarus de Corea del Norte. Los adversarios han introducido un nuevo implante personalizado: un troyano de acceso remoto escrito en C++. La pieza de malware, denominada MagicRAT, realiza reconocimiento del sistema, permite establecer persistencia mediante la creación de tareas programadas, y también permite a sus operadores ejecutar código arbitrario y modificar archivos. Además, el nuevo RAT obtiene cargas adicionales. Según los datos de investigación, los actores de amenazas utilizan muestras de MagicRAT junto con otros RATs personalizados, como TigerRAT. Los ejemplos estudiados fueron programados con el Marco Qt para complicar el análisis humano.

Basándonos en los ataques observados e informes de noticias, podemos derivar que este colectivo respaldado por la nación de Corea del Norte está expandiendo su alcance con una mayor dependencia en diferentes herramientas y técnicas, generando regularmente problemas para los profesionales de SOC.

Cada día, publicamos detecciones para las últimas amenazas, guiando a los profesionales de la seguridad a través del cambiante panorama de amenazas. Con un plan de suscripción bajo demanda , puede ahorrar tiempo y mejorar el rendimiento desbloqueando al instante el contenido de su elección. Súbase a las últimas tendencias y refuerce la resiliencia cibernética de su organización con soluciones específicas para la industria proporcionadas por SOC Prime.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas