Contenuto di Rilevazione: Malware APT38

[post-views]
Giugno 02, 2020 · 2 min di lettura
Contenuto di Rilevazione: Malware APT38

Abbiamo recentemente pubblicato una regola per scoprire uno degli ultimi strumenti del noto gruppo APT38 più conosciuto come Lazarus o Hidden Cobra. Ed è tempo di continuare a pubblicare contenuti per scoprire questo gruppo cybercriminale sofisticato. Nell’articolo di oggi, forniremo i link sui contenuti di rilevamento freschi da uno dei primi partecipanti al SOC Prime Threat Bounty Program – Lee Archinal. Lee ha pubblicato due regole che rilevano Bitsran and Bistromath malware utilizzati da APT38 in attacchi recenti.

Bistromath è un RAT completo che utilizza un impianto per la gestione, il controllo e la ricognizione del sistema standard. L’infezione iniziale viene effettuata tramite un eseguibile malevolo. Le comunicazioni di rete sono crittografate tramite XOR. I campioni scoperti di Bistromath tentano di eludere l’analisi tramite sandbox comuni attraverso controlli di artefatti multipli (presenza di dispositivi specifici, voci di registro, processi, file). Il malware è in grado di manipolare file e processi, esfiltrare dati, utilizzare la shell CMD, spiare, registrare le battute dei tasti, dirottare browser e altro ancora.

Bitsran è un componente dropper e spreader per l’edizione radicale del ransomware Hermes 2.1. È progettato per eseguire e diffondere un carico dannoso sulla rete della vittima. All’esecuzione, il malware colloca una copia di se stesso nella posizione TEMP. Successivamente, il malware enumera tutti i processi, cercando processi antivirus specifici e tenta di terminarli utilizzando lo strumento a riga di comando taskkill. Dopo questo, Bitsran estrae ed esegue il carico utile finale. Mentre questo carico utile aggiuntivo è in esecuzione, il malware iniziale tenta di copiarlo su altri dispositivi della rete. Due account utente sono hardcoded nel malware e vengono utilizzati per stabilire connessioni alle condivisioni SMB C$ su dispositivi Windows.

APT38 Bistromath Malware (Comportamento Sysmon) di Lee Archinal: https://tdm.socprime.com/tdm/info/Ao1O2R1cWwVm/8SEPW3IBjwDfaYjK3Kya/

APT38 Bitsran Malware (Comportamento Sysmon) di Lee Archinal: https://tdm.socprime.com/tdm/info/BlNBeqFYdOnr/O4wNW3IB1-hfOQirkGBq/

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione, Persistenza, Escalation di Privilegi

Tecniche: Chiavi di Registro Run / Cartella di Avvio (T1060), Attività Pianificata (T1053)

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Blog, Piattaforma SOC Prime — 3 min di lettura
Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta
Steven Edwards
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Blog, Ultime Minacce — 6 min di lettura
Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine
Veronika Telychko