Détection de NukeSped : Alerte sur le Malware NukeSped alors qu’il frappe la Corée du Sud
Table des matières :
Acteur de menace étatique Lazarus refait surface, cette fois exploitant la notoire vulnérabilité Log4Shell dans les serveurs VMware Horizons. Dans cette campagne, les adversaires exploitent Horizon, ciblant la République de Corée avec une porte dérobée NukeSped. Les premiers exploits ont été documentés dès janvier 2022, les hackers de Lazarus ayant été repérés exploitant Log4Shell dans les produits VMware Horizons depuis le milieu du printemps 2022. Près de six mois plus tard, ces exploits demeurent un problème brûlant.
Détecter NukeSped
Utilisez une nouvelle règle Sigma par un développeur avisé du programme Threat Bounty Sohan G, publiée dans le dépôt Marketplace de Détection de Menace de la plateforme de SOC Prime. La règle permet de détecter l’activité potentiellement malveillante associée au malware NukeSped :
La détection est disponible pour les 20 plateformes SIEM, EDR & XDR, alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’Exécution avec l’Interpréteur de Commandes et de Scripts (T1059) comme technique principale.
La plateforme de Détection en tant que Code, leader mondial, a agrégé plus de 185K algorithmes de détection et requêtes de chasse aux menaces pour plusieurs plateformes de sécurité. Cliquez sur le Voir les Détections bouton pour parcourir une bibliothèque riche de contenus de détection. Envie de développer vos propres règles Sigma, d’augmenter votre vitesse de chasse aux menaces, et de contribuer aux initiatives mondiales de chasse aux menaces ? Rejoignez notre Programme Threat Bounty !
Voir les Détections Rejoignez le Threat Bounty
Analyse du Malware NukeSped
Les acteurs de menace parrainés par la Corée du Nord du Groupe Lazarus restent actifs en 2022, élargissant continuellement la portée de leurs attaques, ciblant principalement des pays de la région Asie-Pacifique (APAC). Cette fois, les adversaires exploitent une vulnérabilité Log4Shell vulnérabilité infâme qui affecte la bibliothèque de journalisation Java Apache Log4j, qui depuis décembre 2021 a été activement exploitée par de nombreux acteurs de menace.
L’équipe d’analyse de Ahnlab ASEC a rapporté que les hackers de Lazarus utilisent le service Apache Tomcat de VMware Horizon pour exécuter un script PowerShell exploitant Log4j. La commande PowerShell installe la porte dérobée sur le serveur compromis, où elle est utilisée pour de l’espionnage informatique, par exemple, voler des données sensibles, capturer le clavier, faire des captures d’écran, et récupérer des charges utiles malveillantes à déployer sur le système ciblé, comme des logiciels malveillants de type voleur d’informations basé sur la console.
La variante de malware utilisée dans cette campagne est écrite en C++, utilisée par Lazarus depuis au moins 2020. Selon les chercheurs, dans cette campagne, les adversaires ont parfois opté pour le déploiement de Jin Miner, un bot mineur de cryptomonnaie, pour cibler les hôtes Horizon.
Prêt à explorer la plateforme de SOC Primeet voir la Détection en tant que Code en action ? Inscrivez-vous gratuitement. Ou rejoignez le Programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté.
