Rilevamento malware AppleJeus: il gruppo APT Lazarus collegato alla Corea del Nord diffonde ceppi dannosi mascherati da app di criptovaluta

[post-views]
Dicembre 07, 2022 · 5 min di lettura
Rilevamento malware AppleJeus: il gruppo APT Lazarus collegato alla Corea del Nord diffonde ceppi dannosi mascherati da app di criptovaluta

Un noto gruppo APT supportato dalla Corea del Nord, Lazarus, continua ad ampliare la sua superficie d’attacco, sfruttando app fraudolente di criptovalute per distribuire il malware AppleJeus. In questa ultima campagna avversaria, gli hacker Lazarus utilizzano false app di criptovalute chiamate BloxHolder per diffondere il malware AppleJeus, ottenere l’accesso iniziale alle reti e rubare asset crittografici.

Negli ultimi quattro anni, il gruppo APT Lazarus è stato particolarmente interessato ad attaccare imprese di criptovalute e blockchain per guadagni finanziari. Ad esempio, nell’aprile 2022, la campagna TradeTraitor di Lazarus è salita alla ribalta prendendo di mira aziende orientate al trading, allo scambio e agli investimenti, NFT o aziende di gaming criptocentriche play-to-earn, nonché titolari individuali di portafogli di criptovalute e NFT.

Rileva il Malware AppleJeus 

Il Gruppo Lazarus è un’organizzazione di hacking nota sostenuta dallo stato nordcoreano. Questo gruppo APT è stato sul radar almeno dal 2009 ed è sospettato di essere dietro una serie di campagne di alto profilo, tra cui cyber-guerra, cyber-spionaggio e attacchi ransomware. Per difendersi proattivamente contro l’ultima campagna Lazarus che distribuisce una versione migliorata del malware AppleJeus, opta per scaricare un batch di regole Sigma dedicate dalla piattaforma Detection as Code di SOC Prime: 

Regole Sigma per Rilevare il Malware AppleJeus dal Gruppo APT Lazarus

Tutti i contenuti di rilevamento sopra sono mappati sul framework MITRE ATT&CK® e supportano traduzioni a oltre 25 formati di alert e query SIEM, EDR, BDP e XDR leader del settore. Gli algoritmi di rilevamento sono forniti sia dal Team SOC Prime che dai nostri sviluppatori esperti di Threat Bounty, garantendo una varietà di regole per adattarsi al tuo profilo di minaccia e al kit tecnologico in uso.

Unisciti al nostro Programma Threat Bounty per i difensori cyber per creare le tue regole Sigma, pubblicarle nel più grande marketplace di rilevamento delle minacce al mondo e guadagnare soldi per il tuo contributo. Con il Threat Bounty di SOC Prime, puoi letteralmente programmare il tuo CV, acquisendo conoscenze Sigma & ATT&CK e affinando le abilità di Threat Hunting e Detection Engineering.

Ad oggi, la piattaforma SOC Prime aggrega una varietà di regole Sigma per rilevare strumenti e tecniche di attacco associati al collettivo APT Lazarus. Premi il pulsante Esplora Rilevamenti per controllare gli algoritmi di rilevamento accompagnati dalle corrispondenti referenze ATT&CK, link di intelligenza sulle minacce e altri metadati rilevanti.

Esplora Rilevamenti

Descrizione del Malware AppleJeus: Analisi dell’Ultima Attività del Gruppo APT Lazarus

Il gruppo APT Lazarus sponsorizzato dallo stato nordcoreano è anche noto come HIDDEN COBRA è dietro un’ondata di nuovi attacchi informatici che prendono di mira gli utenti di rete e criptovalute distribuendo false app di cripto sotto il nome BloxHolder e diffondendo il malware AppleJeus sui sistemi compromessi.

Il collettivo di hacker distribuisce AppleJeus dal 2018 per rubare criptovalute agli utenti mirati. Nel febbraio 2021, CISA, FBI e il Dipartimento del Tesoro (Treasury) hanno emesso un avviso congiunto con i dettagli del malware AppleJeus insieme a raccomandazioni di mitigazione. Il gruppo APT Lazarus responsabile della diffusione di questo malware ha preso di mira utenti individuali e organizzazioni in tutto il mondo in più settori industriali, incluse le piattaforme di scambio di criptovalute e le istituzioni finanziarie, tentando di rubare asset criptovalutari. Secondo questo avviso, il collettivo di hacker sostenuto dalla nazione nordcoreana sfruttava fino a sette diverse varianti di AppleJeus dal 2018, migliorandole costantemente e arricchendole con capacità potenziate.

I ricercatori di cybersecurity Volexity sono stati i primi a osservare una nuova attività degli attori di minacce Lazarus nel giugno 2022, installando AppleJeus utilizzando file di documenti di Microsoft Office armati come esca per attirare l’attenzione degli utenti di criptovalute mirati. Gli hacker hanno registrato un nuovo nome di dominio, bloxholder[.]com, per una piattaforma di trading di criptovalute. L’indagine ha mostrato che quest’ultimo era un clone esatto di un altro sito web legittimo. I ricercatori di cybersecurity si sono imbattuti in questo falso sito web BloxHolder, che ha dato un nome alla campagna maligna correlata, dopo aver osservato il ceppo maligno di AppleJeus all’interno del file MSI che cercava di attirare gli utenti di criptovalute a scaricare l’app cripto e innescare la catena di infezione. Appena il file-esca installa l’app legittima, crea un’attività pianificata e distribuisce file maligni nella cartella di sistema, che porta all’implementazione della nuova variante del malware AppleJeus.

In ottobre 2022, il collettivo di hacker ha avanzato le sue campagne maligne sfruttando documenti di Microsoft Office invece dell’installer MSI per distribuire AppleJeus. Nei più recenti attacchi informatici, gli hacker Lazarus hanno anche potenziato le loro capacità offensiva applicando una tecnica di DLL side-loading a catena per caricare il malware, che permette loro di eludere il rilevamento. Inoltre, nella campagna più recente che diffonde il malware AppleJeus, tutte le stringhe e le chiamate API sono offuscate utilizzando un algoritmo di crittografia personalizzato, che rappresenta un’altra sfida per i difensori cyber affinché possano identificare tempestivamente l’infezione.

Gli attacchi informatici in crescita da parte del famigerato gruppo APT Lazarus supportato dallo stato e la loro crescente sofisticazione richiedono un’estrema reattività dai difensori cyber. Naviga su socprime.com per cercare regole Sigma contro minacce attuali ed emergenti, incluso malware che colpisce gli utenti di criptovaluta, e raggiungere oltre 9.000 idee per Engineering di Rilevamento e Threat Hunting insieme a un contesto completo di minacce cyber. Oppure aggiorna a On Demand come parte della nostra offerta di Cyber Monday valida fino al 31 dicembre e ottieni fino a 200 regole Sigma premium a tua scelta oltre alla pila di rilevamento disponibile nel pacchetto scelto.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA 6 min di lettura Ultime Minacce Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA by Veronika Telychko Intelligenza Artificiale nella Cyber Threat Intelligence 17 min di lettura SIEM & EDR Intelligenza Artificiale nella Cyber Threat Intelligence by Veronika Telychko CyberLock, Lucky_Gh0$t e Rilevamento Numero: Gli Hacker Sfruttano Installatori di Strumenti AI Falsi in Attacchi Ransomware e Malware 8 min di lettura Ultime Minacce CyberLock, Lucky_Gh0$t e Rilevamento Numero: Gli Hacker Sfruttano Installatori di Strumenti AI Falsi in Attacchi Ransomware e Malware by Veronika Telychko
Tutte le notizie