Lazarus cible le secteur chimique et l’industrie informatique de la Corée du Sud : contenu de détection basé sur Sigma

[post-views]
avril 20, 2022 · 6 min de lecture
Lazarus cible le secteur chimique et l’industrie informatique de la Corée du Sud : contenu de détection basé sur Sigma

Un groupe APT notoire, Lazarus, parrainé par le gouvernement nord-coréen, élargit sa surface d’attaque en ciblant des entités dans le secteur chimique ainsi que des organisations informatiques, principalement en Corée du Sud. Les chercheurs pensent que la dernière campagne fait partie des plans de l’Opération Dream Job de Lazarus, détectés en août 2020.

Détection d’activité Lazarus

SOC Prime a publié un ensemble de règles Sigma visant à détecter l’activité APT de Lazarus, élaborées par nos développeurs menaces rémunérées expérimentés Osman Demir and Nattatorn Chuensangarun, qui sont toujours à l’affût de nouvelles menaces. Utilisez le contenu de détection suivant pour scanner votre système à la recherche de découvertes malveillantes liées aux récentes attaques APT de Lazarus :

Persistance suspecte de Lazarus APT par ajout de tâches planifiées (via la sécurité) – détecte la présence du groupe Lazarus APT liée à la création de tâches planifiées sur le système de la victime

Activité possible du groupe Lazarus par détection de fichiers associés [ciblant l’industrie chimique] (via event_fichier) – cette règle révèle une activité Lazarus associée à des fichiers malveillants pertinents

Exécution possible du groupe Lazarus pour prendre des captures d’écran (SiteShoter) d’une page Web (via création_de_processus) – détecte une activité Lazarus associée à l’utilisation d’un fichier .dat malveillant

Exécution possible du groupe Lazarus par injection dans le logiciel de gestion système INISAFE Web EX Client (via création_de_processus) – identifie les traces laissées par les hackers de Lazarus en injectant des fichiers DLL dans INISAFE Web EX Client

Exécution suspecte de Lazarus APT par création de service système (via création_de_processus) – cette règle détecte l’activité du groupe Lazarus APT liée à la création de services système sur le système de la victime

Persistance possible du groupe Lazarus par création de tâches planifiées ciblant le secteur chimique (via création_de_processus) – la détection détecte l’activité du groupe Lazarus marquée par les tentatives des adversaires d’assurer leur persistance.

Suivez les mises à jour du contenu de détection lié à Lazarus APT dans le dépôt Threat Detection Marketplace de la plateforme SOC Prime ici. Êtes-vous un chasseur de menaces travaillant sur les détections de logiciels malveillants basées sur Sigma ou Yara ? Rejoignez notre programme Threat Bounty pour partager vos règles via le dépôt Threat Detection Marketplace et obtenir le soutien de la communauté avec de nombreux autres avantages, notamment en en faisant un flux de revenus considérable.

Voir les détections Rejoignez Threat Bounty

l’Opération Dream Job

Activité de Lazarus surnommée l’Opération Dream Job implique l’exploitation d’opportunités d’emploi fictives pour tromper les victimes en les incitant à suivre des liens nuisibles ou à cliquer sur des fichiers infectés, entraînant le déploiement de logiciels espions. Les chercheurs de Symantec ont étiqueté cette branche de l’activité Lazarus Pompilus. Le lancement de la campagne remonte à l’été 2020.

Les pics d’activité de l’Opération Dream Job ont été remarqués en août 2020 et juillet 2021, les campagnes précédentes ciblant les secteurs gouvernementaux, de la défense et de l’ingénierie. La campagne actuelle a commencé au début de 2022 et est toujours en cours, partageant le même ensemble d’outils et techniques que ses campagnes « sœurs » précédentes.

Dernière analyse de la chaîne de destruction du groupe Lazarus

Le groupe APT lié à la Corée du Nord sponsorisé par l’État est sous les feux de la rampe depuis au moins 2009, impliqué dans des attaques de haut niveau, y compris des campagnes de cyberespionnage. Au tournant de 2022, le groupe Lazarus a été repéré dans une attaque de spear-phishing exploitant la mise à jour Windows et le serveur GitHub de C&C pour propager des logiciels malveillants. Dans la foulée de l’attaque initiale, les hackers de Lazarus ont été signalés pour avoir tenté ultérieurement d’abuser de la mise à jour Windows et de GitHub pour contourner les détections en utilisant des macros malveillantes.

Les chasseurs de menaces de Symantec ont récemment révélé une campagne de cyberespionnage en cours ciblant l’industrie chimique et le secteur des technologies de l’information en Corée du Sud, qui semble être une continuation de la célèbre campagne de logiciels malveillants surnommée l’Opération Dream Job qui a commencé en 2020. Des outils et IoCs similaires détectés dans les deux campagnes servent de preuve tangible pour les lier. Les premiers signes d’une nouvelle vague de cyberattaques liées à l’activité l’Opération Dream Job remontent à janvier 2022, lorsque Symantec a interpellé les organisations, principalement du secteur chimique, pour rester vigilantes face aux cyberattaques potentielles du groupe Lazarus APT visant à voler la propriété intellectuelle. Notamment, l’avertissement de Symantec concernant Lazarus est sorti le même jour que le gouvernement américain a annoncé une récompense de 5 millions de dollars pour les données pertinentes pouvant contribuer à perturber les efforts de contournement des sanctions nord-coréennes.

Le premier élément de la chaîne de destruction est la réception et le déploiement du fichier HTM malveillant sur le système de la victime, avec son intégration conséquente dans le logiciel de gestion INISAFE Web EX Client. Le fichier DLL utilisé dans la chaîne d’infection est normalement un outil truffé de chevilles qui télécharge et lance une charge utile supplémentaire depuis un serveur C&C avec un paramètre d’URL particulier key/values ‘prd_fld=racket.

Les chercheurs ont révélé le mouvement latéral dans le réseau ciblé en utilisant l’instrumentation de gestion Windows (WMI) ainsi que le vidage des informations d’identification et la planification de tâches configurées pour s’exécuter en tant qu’utilisateur particulier. De plus, les hackers de Lazarus ont exploité des outils de journalisation IP, le protocole WakeOnLAN pour allumer ou éteindre l’ordinateur à distance, le protocole de transfert de fichiers (FTP) exécuté sous le processus MagicLine, et d’autres outils.

The l’Opération Dream Job les campagnes sont en cours depuis plusieurs années, avec les tactiques des adversaires toujours efficaces et représentant une menace sérieuse pour les organisations dans de multiples industries. Par conséquent, la mise en œuvre d’une approche proactive en matière de cybersécurité et l’amélioration de la posture de cybersécurité peuvent aider les organisations à résister aux attaques APT sophistiquées de cette envergure. Rejoignez la plateforme Detection as Code de SOC Prime pour rester un pas en avant par rapport aux attaquants et améliorer vos capacités de cyberdéfense au niveau supérieur. to stay one step ahead of attackers and take your cyber defense capabilities to the next level. 

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Accéder aux fonctionnalités d’Uncoder AI via l’API 2 min de lecture Plateforme SOC Prime Accéder aux fonctionnalités d’Uncoder AI via l’API by Steven Edwards Rechercher sur la place de marché de détection des menaces d’Uncoder AI 2 min de lecture Plateforme SOC Prime Rechercher sur la place de marché de détection des menaces d’Uncoder AI by Steven Edwards Traduire depuis Sigma en 48 langues 2 min de lecture Plateforme SOC Prime Traduire depuis Sigma en 48 langues by Steven Edwards
Toutes les actualités