Segui 
Abbiamo recentemente pubblicato una regola per scoprire uno degli ultimi strumenti del noto gruppo APT38 più conosciuto come Lazarus o Hidden Cobra. Ed è tempo di continuare a pubblicare contenuti per scoprire questo gruppo cybercriminale sofisticato. Nell’articolo di oggi, forniremo i link sui contenuti di rilevamento freschi da uno dei primi partecipanti al SOC Prime Threat Bounty Program – Lee Archinal. Lee ha pubblicato due regole che rilevano Bitsran and Bistromath malware utilizzati da APT38 in attacchi recenti.
Bistromath è un RAT completo che utilizza un impianto per la gestione, il controllo e la ricognizione del sistema standard. L’infezione iniziale viene effettuata tramite un eseguibile malevolo. Le comunicazioni di rete sono crittografate tramite XOR. I campioni scoperti di Bistromath tentano di eludere l’analisi tramite sandbox comuni attraverso controlli di artefatti multipli (presenza di dispositivi specifici, voci di registro, processi, file). Il malware è in grado di manipolare file e processi, esfiltrare dati, utilizzare la shell CMD, spiare, registrare le battute dei tasti, dirottare browser e altro ancora.
Bitsran è un componente dropper e spreader per l’edizione radicale del ransomware Hermes 2.1. È progettato per eseguire e diffondere un carico dannoso sulla rete della vittima. All’esecuzione, il malware colloca una copia di se stesso nella posizione TEMP. Successivamente, il malware enumera tutti i processi, cercando processi antivirus specifici e tenta di terminarli utilizzando lo strumento a riga di comando taskkill. Dopo questo, Bitsran estrae ed esegue il carico utile finale. Mentre questo carico utile aggiuntivo è in esecuzione, il malware iniziale tenta di copiarlo su altri dispositivi della rete. Due account utente sono hardcoded nel malware e vengono utilizzati per stabilire connessioni alle condivisioni SMB C$ su dispositivi Windows.
APT38 Bistromath Malware (Comportamento Sysmon) di Lee Archinal: https://tdm.socprime.com/tdm/info/Ao1O2R1cWwVm/8SEPW3IBjwDfaYjK3Kya/
APT38 Bitsran Malware (Comportamento Sysmon) di Lee Archinal: https://tdm.socprime.com/tdm/info/BlNBeqFYdOnr/O4wNW3IB1-hfOQirkGBq/
Le regole hanno traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione, Persistenza, Escalation di Privilegi
Tecniche: Chiavi di Registro Run / Cartella di Avvio (T1060), Attività Pianificata (T1053)
