Le groupe APT Lazarus cible les organisations japonaises avec les malwares VSingle et ValeforBeta
Table des matières :
Les chercheurs en sécurité observent une activité malveillante en cours lancée par le tristement célèbre APT Lazarus contre des organisations japonaises. La plupart des infections suivent la même routine et reposent sur des échantillons de malware VSingle et ValeforBeta.
Analyse de VSingle et ValeforBeta
The dernière enquête par Shusei Tomonaga montre que le malware VSingle agit comme un bot HTTP conçu pour télécharger et exécuter des souches malveillantes dedeuxième étape sur l’instance ciblée. Une fois installé, le malware lance Explorer, cache son activité néfaste à l’aide de l’injection DLL, et communique avec le serveur de commande et de contrôle (C&C) de l’attaquant pour recevoir d’autres instructions. La fonctionnalité de VSingle est plutôt simple et permet au malware de télécharger et exécuter des plugins, d’exécuter du code arbitraire, d’envoyer des informations supplémentaires et de charger des fichiers sur la machine attaquée.
ValeforBeta est également un bot HTTP qui obtient une fonctionnalité encore plus simple par rapport à VSingle. ValeforBeta peut exécuter du code, télécharger ou télécharger des fichiers depuis le réseau distant et transmettre des données système au serveur des attaquants.
Les deux souches malveillantes observées servent à établir un point d’appui et à télécharger des outils d’attaque supplémentaires sur l’instance infectée. Notamment, lors du processus d’infection, les hackers de Lazarus appliquent également les logiciels légitimes 3proxy, Stunnel et Plink pour établir des communications avec le serveur des attaquants, effectuer une reconnaissance basique et contrôler les ressources ciblées.
Détecter les attaques de Lazarus
Pour se défendre contre l’activité malveillante associée aux malwares VSingle et ValeforBeta, notre développeur actif de bounty sur les menaces, Emir Erdogan, a publié une règle Sigma communautaire : https://tdm.socprime.com/tdm/info/VNJk0ZZEmheD/AA2UbngBFLC5HdFVMDc5
La règle est traduite pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR : Carbon Black
MITRE ATT&CK :
Tactiques : Exécution, Mouvement latéral, Commande et contrôle,
Techniques : Interface de ligne de commande (T1059), Copie de fichiers distants (T1544)
Acteur : Groupe Lazarus
Le groupe APT Lazarus, parrainé par l’État nord-coréen, est extrêmement actif dans le lancement de diverses campagnes malveillantes visant le gain financier et l’intervention politique. Depuis 2009, Lazarus a été lié à divers incidents retentissants en cybersécurité, y compris la violation de Sony Pictures, le braquage de la Banque Centrale du Bangladesh, et l’attaque WannaCry. L’épidémie de COVID-19 a élargi les vecteurs d’intrusion et la liste des cibles pour cet acteur soutenu par l’État. L’année dernière, le groupe a été impliqué dans des attaques contre plusieurs bourses de crypto-monnaies et des entreprises pharmaceutiques développant des vaccins. L’année 2021 a été marquée par des opérations malveillantes contre des sous-traitants du secteur aérospatial et de la défense lors de l’Opération Dream Job. Pour identifier l’activité malveillante liée à l’APT Lazarus et réagir de manière proactive aux cyberattaques possibles, consultez le contenu de détection dédié disponible dans le Threat Detection Marketplace.
Vous recherchez le meilleur contenu SOC compatible avec vos outils SIEM, EDR et NTDR ? Obtenez un abonnement gratuit à notre Threat Detection Marketplace et accédez facilement à plus de 100K règles de détection et de réponse convertibles en divers formats. Vous aimez coder et souhaitez contribuer à la première bibliothèque de contenu SOC de l’industrie ? Rejoignez notre Programme Threat Bounty!
