Recientes Ataques del APT Lazarus

El grupo APT Lazarus es uno de los pocos equipos de ciberespionaje patrocinados por el estado que también manejan cibercrímenes con motivación financiera y es el actor de amenazas más rentable en la escena de las criptomonedas, habiendo logrado robar alrededor de 2 mil millones de dólares. Solo en 2017, el grupo robó más de medio mil millones de dólares en criptomonedas, por lo que su interés en los comerciantes y los intercambios no está disminuyendo, y recientemente lanzaron otro ataque a una organización de criptomonedas. 

Esta vez, APT Lazarus aprovechó un truco ya probado y llevó a cabo una campaña de spear-phishing con un falso anuncio de trabajo de LinkedIn dirigido a un administrador de sistemas en una organización de criptomonedas objetivo. La víctima recibió el documento malicioso con un macro que crea un archivo .LNK para llamar a un enlace bit.ly a través de la ejecución de mshta.exe. Luego, el script envía información operativa a un servidor C&C y recibe un script de PowerShell que puede obtener cargas útiles usadas por APT Lazarus en esta campaña. 

Emir Erdogan desarrolló la regla exclusiva que permite la detección de TTPs utilizados por el Grupo Lazarus durante este ataque: https://tdm.socprime.com/tdm/info/tjZGrUO4B5k0/fFr1KXQBPeJ4_8xcVrLz/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Evasión de Defensa

Técnicas: Interfaz de Línea de Comandos (T1059), Eliminación de Indicadores en el Host (T1070), Modificación del Registro (T1112)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.