Detección de NukeSped: Advertencia sobre el Malware NukeSped mientras Afecta a Corea del Sur
Tabla de contenidos:
Actor de amenazas controlado por el estado Lazarus vuelve a atacar, esta vez explotando la notoria vulnerabilidad Log4Shell en los servidores VMware Horizons. En esta campaña, los adversarios aprovechan Horizon, apuntando a la República de Corea con un backdoor de NukeSped. Los primeros exploits documentados se remontan a enero de 2022, con hackers de Lazarus vistos explotando Log4Shell en productos VMware Horizons desde mediados de la primavera de 2022. Casi medio año después, estos exploits siguen siendo un problema candente.
Detectar NukeSped
Aproveche una nueva regla Sigma de un desarrollador de Threat Bounty perspicaz Sohan G, lanzada en el repositorio de Threat Detection Marketplace de la plataforma de SOC Prime. La regla permite la detección de la posible actividad maliciosa asociada con el malware NukeSped:
La detección está disponible para las 20 plataformas SIEM, EDR & XDR, alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Interprete de Comandos y Scripts (T1059) como la técnica principal.
La plataforma líder mundial en Detección como Código ha agregado más de 185K algoritmos de detección y consultas de caza de amenazas para múltiples plataformas de seguridad. Pulse el botón Ver Detecciones para navegar por una rica biblioteca de contenido de detección. ¿Desea desarrollar sus propias reglas Sigma, aumentar su velocidad de caza de amenazas y contribuir a las iniciativas globales de caza de amenazas? ¡Únase a nuestro Programa Threat Bounty!
Ver Detecciones Únase a Threat Bounty
Análisis de Malware NukeSped
Actores de amenazas patrocinados por Corea del Norte del Grupo Lazarus permanecen activos en 2022, ampliando continuamente el alcance de sus ataques, principalmente apuntando a países de la región de Asia-Pacífico (APAC). Esta vez, los adversarios explotan una infame vulnerabilidad Log4Shell vulnerabilidad que afecta a la biblioteca de registro Java Apache Log4j, que desde diciembre de 2021 ha sido abusada activamente por múltiples actores de amenazas.
El equipo de análisis de Ahnlab ASEC informó que los hackers de Lazarus utilizan el servicio Apache Tomcat de Vmware Horizon para ejecutar un script PowerShell que explota Log4j. El comando de PowerShell instala el backdoor en el servidor comprometido, donde se utiliza para ciberespionaje, como robar datos sensibles, capturar teclas, tomar capturas de pantalla y recuperar cargas útiles maliciosas para ser desplegadas en el sistema objetivo, como malware de robo de información basado en consola.
La variante de malware utilizada en esta campaña está escrita en C++, utilizada por Lazarus desde al menos 2020. Según los investigadores, en esta campaña, los adversarios a veces optaron por el despliegue de Jin Miner, un bot minero de criptomonedas, para apuntar a los hosts de Horizon.
¿Listo para explorar la plataforma de SOC Prime y ver la Detección como Código en acción? Regístrese gratis. O únase al Programa Threat Bounty para crear su propio contenido y compartirlo con la comunidad.
