Contenido de Detección de Amenazas: Troyano TAINTEDSCRIBE

La semana pasada, CISA, FBI y DoD publicaron informes de análisis de malware sobre herramientas recientemente descubiertas del notorio grupo Lazarus que realizan operaciones en beneficio del gobierno de Corea del Norte. Las variantes de malware, llamadas COPPERHEDGE, TAINTEDSCRIBE y PEBBLEDASH, pueden ser utilizadas para el reconocimiento y la eliminación de información confidencial en sistemas objetivo. El malware TAINTEDSCRIBE se utiliza como un implante de puerta trasera disfrazado como el Narrador de Microsoft. El grupo Lazarus lo usa para descargar módulos maliciosos desde el servidor C&C, descargar y ejecutar archivos, habilitar el intérprete de línea de comandos de Windows, crear y terminar procesos.

El grupo Lazarus (también conocido como Hidden Cobra) es uno de los actores de amenazas más peligrosos que lleva a cabo ataques tanto motivados financieramente como campañas de ciberespionaje. Los atacantes lograron robar alrededor de 2 mil millones de dólares, en varios casos, el grupo utilizó el malware TrickBot (el Proyecto Anchor) para penetrar inicialmente en la organización de interés. 

Nueva regla de caza de amenazas por Ariel Millahuel descubre la actividad del grupo Lazarus de usar el troyano TAINTEDSCRIBE para mantener la persistencia en las redes de las víctimas y una mayor explotación de la red: https://tdm.socprime.com/tdm/info/1Lkj80bX8dHN/-eZsLHIBv8lhbg_ix9AB/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Persistencia, Escalación de Privilegios

Técnicas: Elementos de Inicio (T1165)

Puede aprender más sobre las tácticas utilizadas por el grupo Lazarus y encontrar más contenido para detectarlas en la sección MITRE ATT&CK en el Threat Detection Marketplace: https://tdm.socprime.com/att-ck/