Lázaro apunta al sector químico y la industria IT de Corea del Sur: Contenido de detección basado en Sigma

Un notorio grupo APT, Lazarus, patrocinado por el gobierno de Corea del Norte, amplía su superficie de ataque, apuntando a entidades del sector químico junto con organizaciones de TI, principalmente en Corea del Sur. Los investigadores creen que la última campaña es parte de los planes de la Operación Dream Job , detectados en agosto de 2020.

Detección de actividad de Lazarus

SOC Prime lanzó un conjunto de reglas Sigma destinadas a detectar la actividad del APT Lazarus, creadas por nuestros experimentados desarrolladores de Threat Bounty Osman Demir and Nattatorn Chuensangarun, que siempre están a la búsqueda de nuevas amenazas. Utilice el siguiente contenido de detección para escanear su sistema en busca de hallazgos maliciosos relacionados con los recientes ataques del APT Lazarus:

Persistencia sospechosa del APT Lazarus mediante la adición de Tareas Programadas (vía security) – desenmascara la presencia del grupo APT Lazarus relacionada con la creación de tareas programadas en el sistema de la víctima

Posible actividad del Grupo Lazarus por detección de archivos asociados [Apuntando a la industria química] (vía file_event) – esta regla revela la actividad de Lazarus asociada con archivos maliciosos relevantes

Posible ejecución del Grupo Lazarus para tomar capturas de pantalla (SiteShoter) de páginas web (vía process_creation) – detecta la actividad de Lazarus asociada con el uso de archivos .dat maliciosos

Posible ejecución del Grupo Lazarus inyectando en el software de gestión del sistema INISAFE Web EX Client (vía process_creation) – identifica los rastros dejados por los hackers de Lazarus inyectando archivos Dll en INISAFE Web EX Client

Ejecución sospechosa del APT Lazarus mediante la creación de servicio del sistema (vía process_creation) – esta regla detecta la actividad del grupo APT Lazarus relacionada con la creación de servicios del sistema en el sistema de la víctima

Posible persistencia del Grupo Lazarus mediante creación de tareas programadas con objetivo en el sector químico (vía process_creation) – la detección rastrea la actividad del grupo Lazarus marcada por intentos de los adversarios de asegurar su persistencia.

Siga las actualizaciones de contenido de detección relacionadas con APT Lazarus en el repositorio Threat Detection Marketplace de la plataforma SOC Prime aquí. ¿Eres un cazador de amenazas que trabaja en detecciones de malware basadas en Sigma o Yara? Únete a nuestro programa Threat Bounty para compartir tus reglas a través del repositorio Threat Detection Marketplace y obtener el apoyo de la comunidad con muchos otros beneficios, incluyendo convertir esto en una considerable fuente de ingresos.

Ver detecciones Unirse a Threat Bounty

planes de la Operación Dream Job

actividad de Lazarus denominada planes de la Operación Dream Job implica explotar oportunidades laborales falsas para engañar a las víctimas para que sigan enlaces dañinos o hagan clic en archivos infectados, lo que resulta en el despliegue de malware de espionaje. Los investigadores de Symantec etiquetaron esta rama de la actividad de Lazarus Pompilus. El lanzamiento de la campaña se remonta al verano de 2020.

Los picos en la actividad de planes de la Operación Dream Job fueron notados en agosto de 2020 y julio de 2021, con las campañas anteriores apuntando a los sectores gubernamental, de defensa e ingeniería. La campaña actual comenzó a principios de 2022 y todavía está en curso, compartiendo el mismo conjunto de herramientas y técnicas que sus anteriores campañas ‘hermanas’.

Análisis del último ataque en cadena de eliminación del grupo Lazarus

El APT vinculado a Corea del Norte, patrocinado por el estado, ha estado en el punto de mira desde al menos 2009, involucrado en ataques de alto perfil, incluidas campañas de ciberespionaje. A finales de 2022, se vio al grupo Lazarus en un ataque de spear-phishing aprovechando la actualización de Windows y el servidor C&C de GitHub para difundir malware. Detrás del ataque inicial, se informó que los hackers de Lazarus hicieron intentos posteriores para abusar de la actualización de Windows y GitHub para eludir las detecciones usando macros maliciosos.

Los cazadores de amenazas de Symantec han revelado recientemente la campaña de ciberespionaje en curso dirigida a la industria química y el sector TI de Corea del Sur, que parece ser una continuación de la infame campaña de malware denominada planes de la Operación Dream Job que comenzó en 2020. Las herramientas e IoCs similares detectados en ambas campañas sirven como evidencia plausible para vincularlas. Los primeros indicios de una nueva ola de ciberataques vinculados a la planes de la Operación Dream Job actividad se remontan a enero de 2022, cuando Symantec se dirigió a las organizaciones, principalmente en el sector químico, para que permanecieran vigilantes ante posibles ciberataques del APT Lazarus dirigidos a robar propiedad intelectual. Notablemente, la advertencia de Lazarus por parte de Symantec se divulgó el mismo día en que el gobierno de EE. UU. informó una recompensa de $5 millones por datos relevantes que pudieran contribuir a interrumpir los esfuerzos de evasión de sanciones de Corea del Norte.

El primer elemento de la cadena de eliminación es la recepción y despliegue del archivo HTM malicioso en el sistema de la víctima, con su consiguiente incorporación en el software de gestión INISAFE Web EX Client. El archivo DLL utilizado en la cadena de infección es normalmente una herramienta troyanizada que descarga e inicia una carga útil adicional desde un servidor C&C con un parámetro de URL específico clave/valores ‘prd_fld=racket.

Los investigadores revelaron el movimiento lateral en la red objetivo utilizando Instrumentalización de Gestión de Windows (WMI) junto con volcado de credenciales y tareas programadas configuradas para ejecutarse como un usuario particular. Además, los hackers de Lazarus han aprovechado herramientas de registro de IP, el protocolo WakeOnLAN para encender o apagar la computadora de forma remota, el Protocolo de Transferencia de Archivos (FTP) ejecutado bajo el proceso MagicLine, y más herramientas.

The planes de la Operación Dream Job las campañas han estado en progreso durante un par de años, con las tácticas del adversario aún efectivas y representando una seria amenaza para organizaciones en múltiples industrias. Por lo tanto, la implementación de un enfoque de ciberseguridad proactivo y mejorar la postura de ciberseguridad puede ayudar a las organizaciones a resistir los sofisticados ataques de APT de tal escala. Únase a la plataforma Detection as Code de SOC Prime para mantenerse un paso adelante de los atacantes y llevar sus capacidades de defensa cibernética al siguiente nivel.