Détection de l’activité du groupe BlueNoroff : Les acteurs malveillants appliquent de nouvelles méthodes pour contourner la protection Marque du Web (MoTW) de Windows
Table des matières :
BlueNoroff, qui fait partie du plus grand groupe Lazarus, est un collectif de hackers motivé par l’argent qui cherche à tirer des avantages financiers de ses capacités offensives. Le groupe, connu pour voler des cryptomonnaies et utilisant couramment des documents Word et des fichiers LNK pour l’intrusion initiale, a récemment exploité de nouvelles méthodes adverses. Dans les dernières attaques, BlueNoroff expérimente de nouveaux types de fichiers pour la livraison de malware, permettant aux acteurs de la menace d’échapper aux fonctionnalités de sécurité Windows Marque du Web (MoTW).
Détecter les tentatives malveillantes de BlueNoroff pour contourner la protection Windows MoTW
Soutenu par une forte motivation financière et une série de cyberattaques réussies, BlueNoroff APT élargit les horizons de ses capacités offensives en expérimentant de nouvelles méthodes adverses. La plateforme Detection as Code de SOC Prime est axée sur l’aide aux défenseurs cybernétiques pour rester au top du paysage des menaces cybernétiques et se défendre de manière proactive contre les menaces émergentes. À l’aube de 2023, la plateforme a publié un ensemble de règles Sigma sélectionnées pour détecter l’activité malveillante du groupe BlueNoroff qui a appliqué des techniques plus avancées pour échapper à la détection dans les dernières cyberattaques, y compris les tentatives de contourner les fonctionnalités de sécurité Windows MoTW. Suivez le lien ci-dessous pour accéder instantanément à ces nouvelles détections étiquetées avec MITRE ATT&CK® et rédigées par nos développeurs Threat Bounty perspicaces, Aytek Aytemur and Nattatorn Chuensangarun :
The Règle Sigma par Aytek Aytemur détecte un processus suspect depuis rundll32, qui exécute marcoor.dll, un fichier malveillant associé à l’activité adverse du groupe BlueNoroff. Cette détection répond à la tactique d’Exécution avec l’Interpréteur de Commandes et de Scripts (T1059) et l’Exécution Utilisateur (T1204) comme techniques principales ainsi qu’à la tactique d’Évasion de la Défense avec la technique correspondante d’Exécution par Proxy de Binaire Système (T1218).
Deux nouvelles règles Sigma par Nattatorn Chuensangarun de la liste susmentionnée couvrent également la tactique d’Exécution représentée par la technique de l’Interpréteur de Commandes et de Scripts (T1059). Tous les algorithmes de détection dans l’ensemble de règles dédié sont compatibles avec les technologies SIEM, EDR et XDR de pointe.
Les chercheurs et praticiens de la cybersécurité désireux d’améliorer leurs compétences en ingénierie de détection sont invités à exploiter le pouvoir de la défense cybernétique collective en contribuant leurs propres règles Sigma étiquetées avec MITRE ATT&CK. Rejoignez notre Threat Bounty Program pour voir la puissance de Sigma associée à ATT&CK en action, coder votre CV futur et gagner des récompenses financières récurrentes pour votre contribution.
Pour garder le doigt sur le pouls du paysage des menaces en constante évolution et identifier en temps opportun les souches malveillantes attribuées à l’activité du groupe BlueNoroff, cliquez sur le Explore Detections bouton ci-dessous. Cela vous mènera instantanément à la liste complète des règles Sigma enrichies avec des métadonnées pertinentes pour accélérer l’enquête sur la menace cybernétique et renforcer vos capacités de défense cybernétique.
Activité Adverse du Groupe BlueNoroff : Analyse des Modèles de Comportement Observés dans les Dernières Attaques
L’APT nord-coréen BlueNoroff, qui représente un sous-ensemble du célèbre groupe Lazarus, alias APT38, est reconnu dans l’arène des menaces cybernétiques comme un collectif de hackers ciblant principalement les organisations financières pour voler des cryptomonnaies. La stratégie classique de BlueNoroff implique l’utilisation d’un vecteur d’attaque par hameçonnage visant à compromettre les entités financières et intercepter les transferts de cryptomonnaie de la société.
Les chercheurs en cybersécurité ont récemment observé l’adoption de nouvelles souches malveillantes dans la boîte à outils adverse du groupe et l’utilisation de nouveaux types de fichiers pour une livraison de malware plus efficace. BlueNoroff a créé plus de 70 faux domaines pour des organisations de capital-risque et des banques afin d’inciter les employés de l’entreprise à déclencher une chaîne d’infection et permettre ensuite aux hackers de tirer leurs avantages financiers. La majorité des domaines frauduleux se font passer pour ceux identifiant des entités financières japonaises, ce qui indique l’intérêt croissant des hackers à compromettre les organisations japonaises dans le secteur industriel correspondant.
Dans les dernières attaques, BlueNoroff expérimente des stratégies adverses plus sophistiquées pour accroître l’efficacité du contournement des capacités de sécurité Windows et perturber les activités de défense cybernétique. Des acteurs de la menace ont été observés exploitant plusieurs scripts, comme Visual Basic et Windows Batch, et appliquant les formats de fichiers ISO et VHD pour propager l’infection. Le groupe a tiré avantage des fichiers image pour contourner le drapeau Windows MoTW et échapper à la détection. Ce dernier est une fonctionnalité de sécurité Windows qui affiche un message d’avertissement lorsqu’un utilisateur tente d’ouvrir un fichier inconnu ou suspect téléchargé depuis le web.
Les organisations progressistes adoptent la stratégie cybersécurité proactive pour être pleinement équipées de capacités de défense cybernétique et contrer efficacement les attaques de toute envergure par le tristement célèbre groupe Lazarus. Profitez de 445 règles Sigma pour détecter gratuitement les attaques APT Lazarus ou profiter de plus de 2 400+ détections adressant les TTPs pertinents avec On Demand à https://my.socprime.com/pricing/.
