Détection des Logiciels Malveillants TraderTraitor : Avertissement de CISA, FBI et Département du Trésor Américain sur les Cyberattaques de Lazarus APT
Table des matières :
Le groupe APT Lazarus est devenu un invité fréquent de nos articles de blog. Selon les récents rapports de sécurité, l’APT sponsorisé par l’État nord-coréen agit rapidement, mettant en péril les infrastructures financières et critiques, les entreprises orientées sur la technologie blockchain, et le secteur des cryptomonnaies. Les organisations gouvernementales américaines ont publié des détails sur des applications de cryptomonnaies infectées par des logiciels malveillants, regroupées sous le terme « TraderTraitor », distribuées via une campagne de phishing lancée mondialement. Le groupe APT reste fidèle aux anciennes méthodes, attirant les victimes avec de fausses offres d’emploi.
Détecter le malware TraderTraitor
Les entreprises de cryptomonnaie et de blockchain, telles que le trading, l’échange, et les sociétés d’investissement, les entreprises de NFT ou de jeux crypto à gagner, ainsi que les détenteurs individuels de portefeuilles de cryptomonnaies et de NFT, sont tous des victimes potentielles de l’activité en cours de l’APT Lazarus centrée autour de la distribution du malware TraderTraitor. Utilisez les règles suivantes publiées par nos développeurs de Threat Bounty compétents Osman Demir and Sittikorn Sangrattanapitak pour détecter les noms de fichiers suspects et l’agent utilisateur associé dans votre environnement :
Les détections sont disponibles pour les 18 plateformes SIEM, EDR & XDR, alignées avec le dernier cadre MITRE ATT&CK® v.10. Pour plus de contenu de détection, veuillez appuyer sur le Voir les détections bouton ci-dessous.
Les experts en cybersécurité exploitent le programme Threat Bounty pour débloquer de nouvelles possibilités pour leur carrière dans le domaine. Rejoignez Threat Bounty pour partager notre engagement à coopérer dans l’atteinte de normes élevées des processus de cybersécurité.
Voir les détections Rejoindre Threat Bounty
Analyse du malware TraderTraitor
CISA, FBI, et le Département du Trésor des États-Unis – les organisations gouvernementales ont publié un Conseil en cybersécurité pour mettre en évidence les menaces associées à l’infection par le malware TraderTraitor. Les célèbres hackers nord-coréens ciblent les entreprises qui dépendent de la technologie blockchain, ainsi que les sociétés d’investissement, d’échange, et de commerce de cryptomonnaies, ainsi que les propriétaires individuels de portefeuilles de cryptomonnaies, pour diffuser des applications malveillantes de cryptomonnaies chargées du malware TraderTraitor. Ces applications de trading ou de prévision des prix Trojanisées sont conçues pour fonctionner sur les deux principaux systèmes d’exploitation – Windows et macOS.
Le malware TraderTraitor se propage via des escroqueries par spear-phishing – le modus operandi éprouvé de Lazarus, dans le cadre de l’opération multi-canal de l’APT Opération Dream Job. Les opérateurs de TraderTraitor frappent leurs cibles avec un grand nombre de messages de spear-phishing via des canaux de communication, y compris des plateformes de messagerie et de courriel.
Une fois qu’une cible est amenée à télécharger et installer ces faux outils pour opérations de cryptomonnaie, le système est infecté par un trojan d’accès à distance (RAT) sur mesure qui collecte les données du système, exécute des commandes arbitraires, et permet aux adversaires de télécharger des charges utiles supplémentaires pour des transactions frauduleuses et le vol de données sensibles de cryptomonnaie.
Des décisions intelligentes et opportunes pour la stratégie de cybersécurité de votre organisation sont une approche éprouvée pour résister aux frappes à grande échelle de l’APT. Parcourez le Marketplace de détection des menaces pour plus de contenu de détection Sigma et YARA afin de garantir qu’aucun danger critique ne passe inaperçu.
