Rilevamento delle Attività del Gruppo BlueNoroff: I Criminali Informatici Applicano Metodi Innovativi per Aggirare la Protezione di Windows Mark-of-the-Web (MoTW)
Indice:
BlueNoroff, che fa parte del più grande Lazarus Group, è un collettivo di hacking a scopo finanziario che si sforza di ottenere vantaggi finanziari dalle sue capacità offensive. Il gruppo, noto per il furto di criptovalute e l’uso comune di documenti Word e file LNK per l’intrusione iniziale, ha recentemente sfruttato nuovi metodi avversari. Negli ultimi attacchi, BlueNoroff sperimenta nuovi tipi di file per la distribuzione di malware, permettendo agli attori minacciosi di eludere le funzionalità di sicurezza Windows Mark-of-the-Web (MoTW).
Rileva i tentativi malevoli di BlueNoroff di bypassare la protezione Windows MoTW
Spinto da una forte motivazione finanziaria e una serie di attacchi informatici di successo, BlueNoroff APT sta espandendo gli orizzonti delle sue capacità offensive, sperimentando nuovi metodi avversari. La piattaforma Detection as Code di SOC Prime è focalizzata a supportare i difensori informatici a mantenere il controllo del panorama delle minacce informatiche e difendersi proattivamente dalle minacce emergenti. All’inizio del 2023, la piattaforma ha rilasciato un set di regole Sigma curate per rilevare l’attività malevola del gruppo BlueNoroff che ha applicato tecniche più avanzate per eludere il rilevamento negli ultimi attacchi informatici, inclusi i tentativi di superare le funzionalità di sicurezza Windows MoTW. Segui il link qui sotto per accedere istantaneamente a queste nuove rilevazioni etichettate con MITRE ATT&CK® e scritte dai nostri brillanti sviluppatori di Threat Bounty, Aytek Aytemur and Nattatorn Chuensangarun:
Regole Sigma per rilevare nuovi metodi applicati negli ultimi attacchi del gruppo BlueNoroff
The Regola Sigma di Aytek Aytemur rileva un processo sospetto nell’uso di rundll32, che esegue marcoor.dll, un file dannoso associato all’attività avversaria del gruppo BlueNoroff. Questa rilevazione copre la tattica di Esecuzione con il Command and Scripting Interpreter (T1059) e User Execution (T1204) come tecniche principali insieme alla tattica di Evasione della Difesa con la tecnica corrispondente di Proxy Execution del Sistema Binario (T1218).
Due nuove regole Sigma di Nattatorn Chuensangarun dalla lista sopra menzionata trattano anche la tattica di Esecuzione rappresentata dalla tecnica Command and Scripting Interpreter (T1059). Tutti gli algoritmi di rilevazione nel set di regole dedicato sono compatibili con le tecnologie SIEM, EDR e XDR leader del settore.
I ricercatori e i praticanti di cybersecurity desiderosi di avanzare nelle loro competenze di Detection Engineering sono invitati ad attingere al potere della difesa informatica collettiva contribuendo con le proprie regole Sigma etichettate con MITRE ATT&CK. Unisciti al nostro Threat Bounty Program per vedere il potere di Sigma insieme a ATT&CK in azione, programmare il tuo futuro CV e guadagnare ricompense finanziarie ricorrenti per il tuo contributo.
Per mantenere il polso del mutevole panorama delle minacce e identificare tempestivamente le varianti malevoli attribuite all’attività del gruppo BlueNoroff, clicca il Esplora le Rilevazioni pulsante qui sotto. Questo ti porterà istantaneamente alla lista completa delle regole Sigma arricchite con metadati rilevanti per accelerare l’indagine sulle minacce informatiche e potenziare le tue capacità di difesa informatica.
Attività Avversaria del Gruppo BlueNoroff: Analisi dei Modelli di Comportamento Osservati negli Attacchi Recenti
L’APT nordcoreano BlueNoroff, che rappresenta un sottogruppo del famigerato Lazarus Group, aka APT38, è riconosciuto nell’arena delle minacce informatiche come un collettivo di hacker che punta principalmente alle organizzazioni finanziarie per rubare criptovalute. La strategia classica di BlueNoroff implica l’uso di un vettore di attacco phishing che mira a compromettere le entità finanziarie e intercettare i trasferimenti di criptovaluta dell’azienda.
I ricercatori di cybersecurity hanno recentemente osservato l’adozione di nuove varianti malevoli nel toolkit avversario del gruppo e l’uso di nuovi tipi di file per una più efficiente diffusione del malware. BlueNoroff ha creato oltre 70 domini falsi di organizzazioni di venture capital e banche per attirare i dipendenti dell’azienda a innescare una catena di infezione e consentire ulteriormente agli hacker di ottenere i loro benefici finanziari. La maggior parte dei domini fraudolenti si maschera come quelli che identificano entità finanziarie giapponesi, il che indica l’interesse crescente degli hacker a compromettere le organizzazioni giapponesi nel settore industriale corrispondente.
Negli ultimi attacchi, BlueNoroff sperimenta strategie avversarie più sofisticate per aumentare la efficienza nel bypassare le capacità di sicurezza di Windows e interrompere le attività di difesa informatica. Gli attori della minaccia sono stati osservati sfruttare più script, come Visual Basic e Windows Batch, e applicare formati di file ISO e VHD per diffondere l’infezione. Il gruppo ha sfruttato file di immagini per bypassare il flag Windows MoTW ed eludere il rilevamento. Quest’ultimo è una funzionalità di sicurezza di Windows che visualizza un messaggio di avviso quando un utente tenta di aprire un file sconosciuto o sospetto scaricato dal web.
Le organizzazioni all’avanguardia stanno adottando la strategia di cybersecurity proattiva per essere completamente equipaggiate con capacità di difesa informatica ed efficacemente contrastare attacchi di qualsiasi scala da parte del famigerato Lazarus Group. Approfitta di 445 regole Sigma per rilevare gli attacchi APT Lazarus gratuitamente o ottenere di più da oltre 2.400 rilevazioni che affrontano TTP rilevanti con On Demand su https://my.socprime.com/pricing/.
