Le groupe Lazarus refait surface, exploitant la vulnérabilité Log4j et propageant MagicRAT
Table des matières :
Lazarus Group, également connu sous le nom d’APT38, Dark Seoul, Hidden Cobra et Zinc, a acquis une réputation de groupe de hackers criminels parrainés par l’État, très qualifiés et bien financés, semant la pagaille depuis 2009.
Dans la campagne la plus récente, Lazarus a déployé un nouveau malware, MagicRAT, après avoir exploité des vulnérabilités dans les plateformes VMWare Horizon, telles que la faille médiatisée Log4j . Le notoire APT a ciblé cette série d’attaques sur plusieurs entreprises énergétiques aux États-Unis, au Japon et au Canada.
Détecter l’activité du Lazarus Group
Pour identifier d’éventuelles attaques et remédier à la compromission par hameçonnage de Lazarus, optez pour le téléchargement d’un lot de règles Sigma gratuites. Le contenu a été publié par notre développeur Threat Bounty enthousiaste Emir Erdogan:
Activité hautement suspecte du groupe APT Lazarus (détection de MagicRAT via file_creation)
Utilisation potentiellement élevée du RAT du groupe APT Lazarus (via process_creation)
The Les règles Sigma sont facilement convertibles en 26 solutions SIEM, EDR et XDR et sont alignées avec le framework MITRE ATT&CK® v.10.
La liste complète des détections liées au groupe APT Lazarus est disponible dans le moteur de recherche Cyber Threats – le premier outil gratuit de l’industrie pour des informations approfondies sur les menaces cybernétiques et un contexte pertinent avec une performance de recherche instantanée. Le moteur de recherche de SOC Prime, alimenté par la plateforme innovante Detection as Code, aide les professionnels des SOC à rationaliser les opérations de détection des menaces en servant de source immédiate de règles Sigma et d’informations contextuelles pertinentes, y compris les références MITRE ATT&CK, la visualisation des tendances des attaques et les informations sur le renseignement de menace. Appuyez sur le bouton Explore Detections pour en savoir plus.
Analyse de la dernière campagne d’attaque de Lazarus
Cisco Talos a publié un aperçu de la nouvelle campagne malveillante lancée par le groupe Lazarus de Corée du Nord. Les adversaires ont introduit un nouvel implant sur mesure – un cheval de Troie d’accès à distance écrit en C++. Le logiciel malveillant, surnommé MagicRAT, effectue une reconnaissance système, permet d’établir une persistance par la création de tâches planifiées, permettant également à ses opérateurs d’exécuter du code arbitraire et de modifier des fichiers. De plus, le nouveau RAT récupère des charges utiles supplémentaires. Selon les données de la recherche, les acteurs menaçants utilisent des échantillons de MagicRAT avec d’autres RATs personnalisés, comme TigerRAT. Les exemples étudiés ont été programmés avec Qt Framework pour compliquer l’analyse humaine.
Sur la base des attaques observées et des reportages, nous pouvons déduire que ce collectif soutenu par la nation nord-coréenne élargit sa portée en s’appuyant davantage sur différents outils et techniques, perturbant régulièrement les professionnels du SOC.
Chaque jour, nous publions des détections pour les dernières menaces, guidant les professionnels de la sécurité à travers un paysage de menaces volatil. Avec un plan d’abonnement On Demand , vous pouvez gagner du temps et améliorer vos performances en débloquant instantanément le contenu de votre choix. Sautez sur les dernières tendances et renforcez la cyberrésilience de votre organisation avec des solutions spécifiques à l’industrie fournies par SOC Prime.
