Lazarus APT prende di mira le organizzazioni giapponesi con il malware VSingle e ValeforBeta

[post-views]
Marzo 31, 2021 · 3 min di lettura
Lazarus APT prende di mira le organizzazioni giapponesi con il malware VSingle e ValeforBeta

I ricercatori di sicurezza stanno osservando un’attività malevola in corso lanciata dal famigerato gruppo APT Lazarus contro organizzazioni giapponesi. La maggior parte delle infezioni segue la stessa routine e si affida a campioni di malware VSingle e ValeforBeta.

Analisi di VSingle e ValeforBeta

The ultima indagine di Shusei Tomonaga mostra che il malware VSingle agisce come un bot HTTP progettato per scaricare ed eseguire moduli dimalware di seconda fase sull’istanza mirata. Una volta installato, il malware avvia Explorer, nasconde la sua attività nefasta con l’aiuto di un’iniezione DLL e comunica con il server di comando e controllo (C&C) dell’attaccante per ricevere ulteriori istruzioni. La funzionalità di VSingle è piuttosto semplice e consente al malware di scaricare ed eseguire plugin, eseguire codice arbitrario, inviare ulteriori informazioni e caricare file sulla macchina sotto attacco.

ValeforBeta è anch’esso un bot HTTP che ottiene una funzionalità ancora più semplice rispetto a VSingle. ValeforBeta è in grado di eseguire codice, caricare o scaricare file dalla rete remota e trasmettere dati di sistema al server degli attaccanti. 

Entrambi i ceppi malevoli osservati servono per ottenere un punto d’appoggio e caricare ulteriori strumenti di attacco sull’istanza infetta. Notoriamente, durante il processo di infezione, gli hacker di Lazarus applicano anche software legittimi come 3proxy, Stunnel e Plink per stabilire comunicazioni con il server dell’attaccante, eseguire una ricognizione di base e controllare le risorse mirate.

Rilevamento degli attacchi Lazarus

Per difendersi dall’attività malevola associata ai malware VSingle e ValeforBeta, il nostro sviluppatore attivo Threat Bounty, Emir Erdogan, ha rilasciato una regola Sigma per la comunità: https://tdm.socprime.com/tdm/info/VNJk0ZZEmheD/AA2UbngBFLC5HdFVMDc5 

La regola ha traduzioni per le seguenti piattaforme: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK: 

Tattiche: Esecuzione, Movimento Laterale, Comando e Controllo, 

Tecniche: Interfaccia a Riga di Comando (T1059), Copia di File Remoti (T1544)

Attore: Lazarus Group

Il gruppo APT Lazarus, sponsorizzato dallo stato nordcoreano, è estremamente attivo nel lanciare varie campagne malevole mirate al guadagno finanziario e all’intervento politico. Dal 2009, Lazarus è stato legato a vari rumorosi incidenti di cybersecurity, compresa la violazione di Sony Pictures, la rapina alla Banca Centrale del Bangladesh e l’attacco WannaCry. L’epidemia di COVID-19 ha ampliato i vettori di intrusione e la lista dei bersagli per l’attore nazionale. L’anno scorso il gruppo è stato coinvolto in attacchi contro vari scambi di criptovalute e aziende farmaceutiche che sviluppano vaccini. Il 2021 è stato segnato da operazioni malevole contro appaltatori aerospaziali e della difesa durante l’Operazione Sogno di Lavoro. Per identificare l’attività malevola collegata a Lazarus APT e rispondere proattivamente a possibili attacchi informatici, controlla i contenuti di rilevamento disponibili nel Threat Detection Marketplace. 

Cerchi i migliori contenuti SOC compatibili con i tuoi strumenti SIEM, EDR e NTDR in uso? Ottieni un abbonamento gratuito al nostro Threat Detection Marketplace e accedi a oltre 100.000 regole di rilevamento e risposta facilmente convertibili in vari formati. Ti piace programmare e vuoi contribuire alla prima libreria di contenuti SOC dell’industria? Unisciti al nostro Programma Threat Bounty!

Vai alla Piattaforma Unisciti a Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati