Detección de la Operación Herrero: APT Lazarus utiliza un exploit CVE-2021-44228 para desplegar nuevas cepas de malware basadas en DLang
Tabla de contenidos:
Los adversarios ponen sus ojos en una notoria falla de seguridad en la biblioteca Java Log4j rastreada como CVE-2021-44228, también conocida como Log4Shell, incluso un par de años después de su divulgación. Una nueva campaña denominada “Operación Blacksmith” implica la explotación de la vulnerabilidad Log4Shell para desplegar nuevas cepas maliciosas escritas en DLang, incluyendo nuevos troyanos RAT. Se cree que el grupo APT norcoreano Lazarus Group está detrás de la recientemente descubierta Operación Blacksmith.
Detecta la Actividad de Operación Blacksmith vinculada a Lazarus APT
Los grupos APT respaldados por el estado norcoreano continúan representando amenazas para organizaciones globales en múltiples sectores industriales. El nefario Lazarus Group, que ha ganado reconocimiento como un colectivo de hacking competente y bien financiado, causando estragos desde 2009, resurge en la última campaña Operación Blacksmith. La plataforma SOC Prime equipa a los defensores con algoritmos de detección seleccionados para identificar oportunamente las intrusiones de Lazarus en la última campaña. Sigue el enlace a continuación para obtener reglas Sigma mapeadas a MITRE ATT&CK®, enriquecidas con inteligencia personalizada y adaptadas para docenas de plataformas de análisis de seguridad.
Reglas Sigma para detectar la campaña Operación Blacksmith atribuida a Lazarus APT
Además, los ingenieros de seguridad pueden confiar en las detecciones para defenderse contra ataques de Onyx Sleet, también conocido como Andariel APT, un subgrupo respaldado por el estado norcoreano que opera bajo el paraguas de Lazarus:
Reglas Sigma para detectar ataques vinculados a Andariel APT
Reglas Sigma para detectar ataques vinculados a Onyx Sleet
Haz clic Explora Detecciones para acceder a todo el conjunto de detección de ataques vinculados a Lazarus y etiquetados en consecuencia. Sumérgete en metadatos extensos, incluidos enlaces ATT&CK y CTI, para una investigación de amenazas eficiente. Alternativamente, profundiza en detecciones seleccionadas para defenderse proactivamente contra Hidden Cobra or ataques APT38 filtrados por etiquetas personalizadas basadas en la atribución del actor relacionado.
Análisis de Operación Blacksmith: Perspectivas sobre la Explotación de CVE-2021-44228 para Desplegar Nuevos Malware Basados en Telegram
El colectivo de hacking respaldado por el estado Lazarus (también conocido como APT38, Dark Seoul o Hidden Cobra) de Corea del Norte continúa armando el CVE-2021-44228 de hace 2 años, también conocido como vulnerabilidad Log4Shell para propagar tres nuevas cepas de malware desarrolladas en el lenguaje de programación DLang. Estas familias de malware recientemente identificadas incluyen dos RAT previamente desconocidos llamados NineRAT y DLRAT, acompañados de un descargador malicioso denominado BottomLoader. La nueva campaña descubierta por Cisco Talos ha llegado al centro de atención bajo el nombre de “Operación Blacksmith”, con los sectores de manufactura, agricultura y seguridad física como principales objetivos de los atacantes.
La cadena de ataque comienza con la explotación exitosa de CVE-2021-44228 que sirve como punto de entrada a los servidores objetivo. Después de obtener acceso inicial, Lazarus realiza un reconocimiento preliminar, lo que allana el camino para desplegar un implante personalizado en el sistema comprometido. Posteriormente, Lazarus despliega HazyLoad, una herramienta proxy diseñada para crear acceso directo al sistema comprometido, eliminando la necesidad de explotación recurrente de CVE-2021-44228. Los hackers también establecen una cuenta de usuario adicional en el sistema, dotándola de privilegios de administrador. Tras la extracción exitosa de credenciales, Lazarus procede a instalar NineRAT en los sistemas afectados. NineRAT está aprovechando la API de Telegram para la comunicación C2. El malware incluye un dropper diseñado para crear persistencia e iniciar los binarios principales. El uso de Telegram es muy probablemente utilizado para evadir la detección aprovechando un servicio legítimo para la comunicación C2.
El malware no basado en Telegram conocido como DLRAT permite a los hackers de Lazarus desplegar cargas adicionales en sistemas comprometidos. Una vez activado en un dispositivo, DLRAT ejecuta comandos predefinidos para recopilar datos básicos del sistema, que luego son enviados al servidor C2.
El tercer malware empleado en la Operación Blacksmith llamado BottomLoader es un descargador basado en DLang destinado al reconocimiento del sistema que recupera y ejecuta cargas desde una URL predefinida a través de PowerShell. BottomLoader permite a Lazarus APT transferir archivos del sistema afectado al servidor C2, mejorando la flexibilidad operativa.
Los investigadores de Talos han observado que en los últimos 18 meses, Lazarus ha aprovechado RATs desarrollados a través de tecnologías poco convencionales, incluyendo QtFramework, PowerBasic y, más recientemente, escritos en DLang.
Notablemente, Talos también rastrea similitudes entre la campaña más reciente de Lazarus basada en las TTPs adversarias observadas, que son consistentes con el subgrupo APT norcoreano Onyx Sleet (también conocido como PLUTIONIUM), también rastreado como el grupo APT Andariel. Este último es comúnmente reconocido como una sub-unidad APT que opera dentro del paraguas de Lazarus.
La Operación Blacksmith marca un cambio significativo en las TTPs del Lazarus Group, mostrando la evolución continua del conjunto de herramientas del adversario empleado por los actores maliciosos. Inicia sesión en la plataforma SOC Prime para obtener acceso a más de 6,000 piezas de contenido del repositorio del Mercado de Detección de Amenazas para detectar proactivamente ataques APT existentes y emergentes de cualquier escala.
