Détection du Malware AppleJeus : le Groupe APT Lazarus Lié à la Corée du Nord Diffuse des Souches Malveillantes Se Faisant Passer pour des Applications de Cryptomonnaie

[post-views]
décembre 07, 2022 · 6 min de lecture
Détection du Malware AppleJeus : le Groupe APT Lazarus Lié à la Corée du Nord Diffuse des Souches Malveillantes Se Faisant Passer pour des Applications de Cryptomonnaie

Un groupe APT notoire soutenu par la Corée du Nord, Lazarus, élargit continuellement sa surface d’attaque, en tirant parti des applications de cryptomonnaie frauduleuses pour distribuer le malware AppleJeus. Dans cette dernière campagne adversaire, les hackers de Lazarus utilisent de fausses applications de cryptomonnaie appelées BloxHolder pour déposer le malware AppleJeus, obtenir un accès initial aux réseaux et voler des actifs cryptographiques.

Au cours des quatre dernières années, le groupe APT Lazarus a été particulièrement intéressé par l’attaque des entreprises de cryptomonnaie et de blockchain pour un gain financier. Par exemple, en avril 2022, la campagne TradeTraitor de Lazarus est entrée sous les projecteurs en ciblant les entreprises orientées vers le trading, les échanges et les investissements, les NFT ou les entreprises de jeux cryptographiques play-to-earn, ainsi que les détenteurs individuels de portefeuilles de cryptomonnaie et de NFT.

Détecter le Malware AppleJeus 

Le Groupe Lazarus est une organisation de piratage notoire soutenue par l’État nord-coréen. Ce groupe APT est sur le radar depuis au moins 2009 et est suspecté d’être derrière un certain nombre de campagnes de haut niveau, y compris la cyberguerre, le cyberespionnage et les attaques par ransomware. Pour se défendre de manière proactive contre la dernière campagne de Lazarus distribuant une version améliorée du malware AppleJeus, optez pour le téléchargement d’un lot de règles Sigma dédiées depuis la plateforme Detection as Code de SOC Prime : 

Règles Sigma pour détecter le Malware AppleJeus par le Groupe APT Lazarus

Tout le contenu de détection ci-dessus est mappé au cadre MITRE ATT&CK® et supporte les traductions vers plus de 25 formats d’alerte et de requête SIEM, EDR, BDP et XDR de l’industrie. Les algorithmes de détection sont fournis à la fois par l’équipe de SOC Prime et nos développeurs expérimentés de Threat Bounty, assurant une variété de règles pour correspondre à votre profil de menace et à la technologie en usage.

Rejoignez notre Programme Threat Bounty pour les cyber défenseurs afin de créer vos propres règles Sigma, les publier sur le plus grand marché de détection des menaces au monde, et gagner de l’argent pour votre contribution. Avec le Threat Bounty de SOC Prime, vous pouvez littéralement coder votre CV, tout en acquérant des connaissances Sigma & ATT&CK et en perfectionnant vos compétences en Threat Hunting et Detection Engineering.

À ce jour, la plateforme SOC Prime agrège une variété de règles Sigma détectant les outils et techniques d’attaque associés au collectif APT Lazarus. Cliquez sur le Explore Detections pour consulter les algorithmes de détection accompagnés des références ATT&CK correspondantes, des liens de renseignement sur les menaces et d’autres métadonnées pertinentes.

Explore Detections

Description du Malware AppleJeus : Analyse de l’Attaque de la Dernière Activité du Groupe APT Lazarus

Le groupe APT Lazarus parrainé par l’État nord-coréen également connu sous le nom de HIDDEN COBRA est derrière une vague de nouvelles cyberattaques ciblant les utilisateurs de réseaux et de cryptomonnaie en distribuant de fausses applications cryptographiques sous le nom de BloxHolder et en diffusant le malware AppleJeus sur les systèmes compromis.

Le collectif de piratage distribue AppleJeus depuis 2018 pour voler des cryptomonnaies aux utilisateurs ciblés. En février 2021, le CISA, le FBI et le Département du Trésor (Treasury) ont publié un avis conjoint avec les détails du malware AppleJeus ainsi que des recommandations d’atténuation. Le groupe APT Lazarus responsable de la distribution de ce malware ciblait des utilisateurs individuels et des organisations du monde entier dans plusieurs secteurs de l’industrie, y compris les échanges de cryptomonnaie et les institutions financières, tentant de voler des actifs cryptographiques. Selon cet avis, le collectif de piratage soutenu par la nation nord-coréenne exploitait jusqu’à sept variantes différentes d’AppleJeus depuis 2018, les améliorant constamment avec des capacités accrues.

Les chercheurs en cybersécurité de Volexity ont été les premiers à observer une nouvelle activité des acteurs de la menace Lazarus en juin 2022, installant AppleJeus en utilisant des fichiers de documents Microsoft Office armés comme appâts pour attirer l’attention des utilisateurs ciblés de cryptomonnaie. Les hackers ont enregistré un nouveau nom de domaine, bloxholder[.]com, pour une plateforme de trading de cryptomonnaie. L’enquête a montré que celle-ci était une copie pure d’un autre site Web légitime. Les chercheurs en cybersécurité ont découvert ce faux site Web BloxHolder, qui a donné un nom à la campagne malveillante associée, après avoir observé la souche malveillante AppleJeus dans le fichier MSI tentant d’attirer les utilisateurs de cryptomonnaie à télécharger l’application crypto et déclencher la chaîne d’infection. Dès que le fichier appât installe l’application légitime, il crée une tâche planifiée et dépose des fichiers malveillants dans le dossier système, ce qui entraîne le déploiement de la nouvelle variante du malware AppleJeus.

En octobre 2022, le collectif de piratage a avancé ses campagnes malveillantes en utilisant des documents Microsoft Office au lieu de l’installateur MSI pour livrer AppleJeus. Dans les dernières cyberattaques, les hackers de Lazarus ont également amélioré leurs capacités offensives en appliquant une technique de chargement par chaîne de DLL pour charger du malware, ce qui leur permet de contourner les détections. De plus, dans la campagne la plus récente diffusant le malware AppleJeus, toutes les chaînes et les appels API sont obscurcis en utilisant un algorithme de chiffrement personnalisé, ce qui pose un autre défi aux cyber défenseurs pour identifier l’infection en temps opportun.

Le volume croissant des cyberattaques par le groupe APT Lazarus soutenu par l’État, et leur sophistication croissante, nécessitent une ultraréactivité de la part des cyber défenseurs. Parcourez socprime.com pour rechercher des règles Sigma contre les menaces actuelles et émergentes, y compris les malwares affectant les utilisateurs de cryptomonnaies, et accéder à plus de 9 000 idées pour l’Ingénierie de la Détection et la Chasse aux Menaces avec un contexte complet des menaces cybernétiques. Ou passez à On Demand dans le cadre de notre offre Cyber Monday valable jusqu’au 31 décembre, et obtenez jusqu’à 200 règles Sigma premium de votre choix en plus de la pile de détection disponible dans le package choisi.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection du Malware Koske : Nouvelle Menace Linux Générée par l’IA 7 min de lecture Dernières Menaces Détection du Malware Koske : Nouvelle Menace Linux Générée par l’IA by Veronika Telychko Intelligence sur les menaces basée sur l’IA 18 min de lecture SIEM & EDR Intelligence sur les menaces basée sur l’IA by Veronika Telychko CyberLock, Lucky_Gh0$t et Détection Numero : Les Hackers Arment des Installateurs d’Outils IA Fausse dans des Attaques Rançongiciels et Malware 8 min de lecture Dernières Menaces CyberLock, Lucky_Gh0$t et Détection Numero : Les Hackers Arment des Installateurs d’Outils IA Fausse dans des Attaques Rançongiciels et Malware by Veronika Telychko
Toutes les actualités