Contenu de Recherche de Menaces : Cheval de Troie TAINTEDSCRIBE

La semaine dernière, CISA, FBI et DoD ont publié des rapports d’analyse de logiciels malveillants sur des outils récemment découverts du célèbre groupe Lazarus qui effectuent des opérations dans l’intérêt du gouvernement nord-coréen. Les variantes de logiciels malveillants, appelées COPPERHEDGE, TAINTEDSCRIBE, et PEBBLEDASH, peuvent être utilisées pour la reconnaissance et la suppression d’informations confidentielles sur les systèmes cibles. Le logiciel malveillant TAINTEDSCRIBE est utilisé comme un implant de porte dérobée déguisé en Narrateur de Microsoft. Le groupe Lazarus l’utilise pour télécharger des modules malveillants depuis le serveur C&C, télécharger et exécuter des fichiers, activer l’interpréteur de commandes Windows, créer et terminer des processus.

Le groupe Lazarus (alias Hidden Cobra) est l’un des acteurs menaçants les plus dangereux qui mène à la fois des attaques à motivation financière et des campagnes de cyber espionnage. Les attaquants ont réussi à voler environ 2 milliards de dollars, dans plusieurs cas, le groupe a utilisé le logiciel malveillant TrickBot (le Projet Anchor) pour pénétrer initialement dans l’organisation d’intérêt. 

Nouvelle règle de chasse aux menaces par Ariel Millahuel révèle l’activité du groupe Lazarus utilisant le cheval de Troie TAINTEDSCRIBE pour maintenir la persistance sur les réseaux des victimes et exploiter davantage le réseau : https://tdm.socprime.com/tdm/info/1Lkj80bX8dHN/-eZsLHIBv8lhbg_ix9AB/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR : Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Persistance, Escalade de Privilèges

Techniques : Éléments de démarrage (T1165)

Vous pouvez en apprendre davantage sur les tactiques utilisées par le groupe Lazarus et trouver plus de contenu pour les détecter dans la section MITRE ATT&CK sur le Threat Detection Marketplace : https://tdm.socprime.com/att-ck/