Lazarus APT prende di mira le organizzazioni giapponesi con il malware VSingle e ValeforBeta
Indice:
I ricercatori di sicurezza stanno osservando un’attività malevola in corso lanciata dal famigerato gruppo APT Lazarus contro organizzazioni giapponesi. La maggior parte delle infezioni segue la stessa routine e si affida a campioni di malware VSingle e ValeforBeta.
Analisi di VSingle e ValeforBeta
The ultima indagine di Shusei Tomonaga mostra che il malware VSingle agisce come un bot HTTP progettato per scaricare ed eseguire moduli dimalware di seconda fase sull’istanza mirata. Una volta installato, il malware avvia Explorer, nasconde la sua attività nefasta con l’aiuto di un’iniezione DLL e comunica con il server di comando e controllo (C&C) dell’attaccante per ricevere ulteriori istruzioni. La funzionalità di VSingle è piuttosto semplice e consente al malware di scaricare ed eseguire plugin, eseguire codice arbitrario, inviare ulteriori informazioni e caricare file sulla macchina sotto attacco.
ValeforBeta è anch’esso un bot HTTP che ottiene una funzionalità ancora più semplice rispetto a VSingle. ValeforBeta è in grado di eseguire codice, caricare o scaricare file dalla rete remota e trasmettere dati di sistema al server degli attaccanti.
Entrambi i ceppi malevoli osservati servono per ottenere un punto d’appoggio e caricare ulteriori strumenti di attacco sull’istanza infetta. Notoriamente, durante il processo di infezione, gli hacker di Lazarus applicano anche software legittimi come 3proxy, Stunnel e Plink per stabilire comunicazioni con il server dell’attaccante, eseguire una ricognizione di base e controllare le risorse mirate.
Rilevamento degli attacchi Lazarus
Per difendersi dall’attività malevola associata ai malware VSingle e ValeforBeta, il nostro sviluppatore attivo Threat Bounty, Emir Erdogan, ha rilasciato una regola Sigma per la comunità: https://tdm.socprime.com/tdm/info/VNJk0ZZEmheD/AA2UbngBFLC5HdFVMDc5
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Tattiche: Esecuzione, Movimento Laterale, Comando e Controllo,
Tecniche: Interfaccia a Riga di Comando (T1059), Copia di File Remoti (T1544)
Attore: Lazarus Group
Il gruppo APT Lazarus, sponsorizzato dallo stato nordcoreano, è estremamente attivo nel lanciare varie campagne malevole mirate al guadagno finanziario e all’intervento politico. Dal 2009, Lazarus è stato legato a vari rumorosi incidenti di cybersecurity, compresa la violazione di Sony Pictures, la rapina alla Banca Centrale del Bangladesh e l’attacco WannaCry. L’epidemia di COVID-19 ha ampliato i vettori di intrusione e la lista dei bersagli per l’attore nazionale. L’anno scorso il gruppo è stato coinvolto in attacchi contro vari scambi di criptovalute e aziende farmaceutiche che sviluppano vaccini. Il 2021 è stato segnato da operazioni malevole contro appaltatori aerospaziali e della difesa durante l’Operazione Sogno di Lavoro. Per identificare l’attività malevola collegata a Lazarus APT e rispondere proattivamente a possibili attacchi informatici, controlla i contenuti di rilevamento disponibili nel Threat Detection Marketplace.
Cerchi i migliori contenuti SOC compatibili con i tuoi strumenti SIEM, EDR e NTDR in uso? Ottieni un abbonamento gratuito al nostro Threat Detection Marketplace e accedi a oltre 100.000 regole di rilevamento e risposta facilmente convertibili in vari formati. Ti piace programmare e vuoi contribuire alla prima libreria di contenuti SOC dell’industria? Unisciti al nostro Programma Threat Bounty!