Attaques Récentes du Lazarus APT

Le groupe APT Lazarus est l’une des rares unités de cyber-espionnage parrainées par l’État qui gère également des cybercrimes à motivation financière et c’est l’acteur de menace le plus rentable dans le domaine des cryptomonnaies, ayant réussi à voler environ 2 milliards de dollars. Rien qu’en 2017, le groupe a volé plus d’un demi-milliard de dollars en cryptomonnaie, donc leur intérêt pour les traders et les échanges ne faiblit pas, et ils ont récemment lancé une autre attaque sur une organisation de cryptomonnaie. 

Cette fois, APT Lazarus a exploité une astuce déjà éprouvée et a mené une campagne de spear-phishing avec une fausse annonce de poste sur LinkedIn visant un administrateur système dans une organisation de cryptomonnaie ciblée. La victime a reçu le document malveillant avec une macro qui crée un fichier .LNK pour appeler un lien bit.ly via l’exécution de mshta.exe. Ensuite, le script envoie des informations opérationnelles à un serveur C&C et reçoit un script PowerShell qui peut récupérer des charges utilisées par APT Lazarus dans cette campagne. 

Emir Erdogan a développé la règle exclusive qui permet la détection des TTP exploitées par Lazarus Group lors de cette attaque : https://tdm.socprime.com/tdm/info/tjZGrUO4B5k0/fFr1KXQBPeJ4_8xcVrLz/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Évasion de défense

Techniques : Interface en ligne de commande (T1059), Suppression d’indicateur sur l’hôte (T1070), Modification du registre (T1112)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme de Récompense des Menaces pour créer votre propre contenu et le partager avec la communauté TDM.