Il Gruppo Lazarus Riappare, Sfruttando la Vulnerabilità di Log4j e Diffondendo MagicRAT
Indice:
Gruppo Lazarus, noto anche come APT38, Dark Seoul, Hidden Cobra e Zinc, ha guadagnato una reputazione come un gruppo di hacker criminali altamente qualificato e ben finanziato sponsorizzato da uno stato, provocando scompiglio dal 2009.
Nella campagna più recente, Lazarus ha impiegato il nuovo malware MagicRAT dopo aver sfruttato vulnerabilità nelle piattaforme VMWare Horizon, come una nota vulnerabilità Log4j . Il famigerato APT ha mirato questa serie di attacchi a diverse aziende energetiche negli Stati Uniti, Giappone e Canada.
Rileva le attività del Gruppo Lazarus
Per identificare possibili attacchi e rimediare al compromesso spear phishing di Lazarus, opta per scaricare un insieme di regole Sigma gratuite. Il contenuto è stato rilasciato dal nostro esperto sviluppatore di Threat Bounty Emir Erdogan:
Attività altamente sospetta del gruppo APT Lazarus (rilevamento MagicRAT tramite creazione di file)
Uso altamente probabile del RAT del gruppo APT Lazarus (tramite creazione di processi)
The Le regole Sigma sono facilmente convertibili in 26 soluzioni SIEM, EDR e XDR e sono allineate con il quadro MITRE ATT&CK® v.10.
L’elenco completo delle rilevazioni relative all’APT Lazarus è disponibile nel Motore di Ricerca delle Minacce Informatiche – il primo strumento gratuito del settore per informazioni dettagliate sulle minacce informatiche e contesto rilevante con prestazioni di ricerca sub-secondo. Il motore di ricerca di SOC Prime, alimentato dalla piattaforma innovativa Detection as Code, aiuta i professionisti SOC a ottimizzare le operazioni di rilevamento delle minacce servendo come fonte immediata di regole Sigma e informazioni contestuali rilevanti, inclusi i riferimenti a MITRE ATT&CK, visualizzazione delle tendenze degli attacchi e approfondimenti di intelligence sulle minacce. Premi il pulsante Esplora Rilevazioni per saperne di più.
Analisi della campagna di attacco più recente di Lazarus
Cisco Talos ha pubblicato una panoramica della nuova campagna dannosa lanciata dal Gruppo Lazarus della Corea del Nord. Gli avversari hanno introdotto un nuovo impianto su misura – un trojan di accesso remoto scritto in C++. Il pezzo di malware, chiamato MagicRAT, esegue ricognizioni del sistema, consente di stabilire la persistenza attraverso la creazione di attività pianificate, permettendo inoltre ai suoi operatori di eseguire codice arbitrario e modificare file. Inoltre, il nuovo RAT recupera payload aggiuntivi. Secondo i dati di ricerca, gli attori delle minacce usano campioni di MagicRAT insieme ad altri RAT personalizzati, come TigerRAT. Gli esempi studiati sono stati programmati con il Qt Framework per complicare l’analisi umana.
Basandoci sugli attacchi osservati e sui report delle notizie, possiamo dedurre che questo collettivo supportato dalla nazione nordcoreana sta espandendo il suo raggio d’azione facendo maggiore affidamento su strumenti e tecniche diverse, regolarmente causando problemi ai professionisti SOC.
Ogni giorno pubblichiamo rilevazioni per le minacce più recenti, guidando i professionisti della sicurezza attraverso il volubile panorama delle minacce. Con un piano di abbonamento On Demand , puoi risparmiare tempo e migliorare le prestazioni sbloccando istantaneamente i contenuti di tua scelta. Salta sui trend più recenti e rafforza la resilienza informatica della tua organizzazione con soluzioni specifiche per l’industria fornite da SOC Prime.
