Contenu de Détection : Malware APT38

Nous avons récemment publié une règle pour découvrir l’un des derniers outils du célèbre groupe APT38 mieux connu sous le nom de Lazarus ou Hidden Cobra. Et il est temps de continuer à publier du contenu pour découvrir ce groupe cybercriminel sophistiqué. Dans l’article d’aujourd’hui, nous donnerons des liens vers du contenu de détection récent d’un des premiers participants au programme SOC Prime Threat Bounty – Lee Archinal. Lee a publié deux règles qui détectent Bitsran and Bistromath malware utilisé par APT38 dans des attaques récentes.

Bistromath est un RAT complet qui utilise un implant pour la gestion standard du système, le contrôle et la reconnaissance. L’infection initiale est effectuée via un exécutable malveillant. Les communications réseau sont chiffrées via XOR. Les échantillons de Bistromath découverts tentent d’échapper à l’analyse via des bacs à sable courants grâce à plusieurs vérifications d’artefacts (présence de dispositifs spécifiques, entrées de registre, processus, fichiers). Le malware est capable de manipuler des fichiers et des processus, d’exfiltrer des données, d’utiliser la ligne de commande CMD, d’espionner, de keylogger, de détourner le navigateur, et plus encore.

Bitsran est un composant de déploiement et de propagation pour l’édition radicale du ransomware Hermes 2.1. Il est conçu pour exécuter et propager une charge utile malveillante sur le réseau de la victime. À l’exécution, le malware place une copie de lui-même dans l’emplacement TEMP. Le malware énumère ensuite tous les processus, à la recherche de processus antivirus spécifiques et tente de les tuer à l’aide de l’outil de ligne de commande taskkill. Après cela, Bitsran extrait et exécute la charge finale. Pendant que cette charge supplémentaire est en cours d’exécution, le malware initial tente de se copier sur d’autres appareils du réseau. Deux comptes utilisateur sont codés en dur dans le malware et sont utilisés pour établir des connexions aux partages C$ SMB sur les appareils Windows.

Malware Bistromath d’APT38 (Comportement Sysmon) par Lee Archinal : https://tdm.socprime.com/tdm/info/Ao1O2R1cWwVm/8SEPW3IBjwDfaYjK3Kya/

Malware Bitsran d’APT38 (Comportement Sysmon) par Lee Archinal : https://tdm.socprime.com/tdm/info/BlNBeqFYdOnr/O4wNW3IB1-hfOQirkGBq/

Les règles ont des traductions pour les plates-formes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Persistance, Escalade de Privilèges

Techniques : Clés de Registre / Dossier de Démarrage (T1060), Tâche Planifiée (T1053)