Lazarus prende di mira il settore chimico e l’industria IT della Corea del Sud: Contenuto di rilevamento basato su Sigma

[post-views]
Aprile 20, 2022 · 6 min di lettura
Lazarus prende di mira il settore chimico e l’industria IT della Corea del Sud: Contenuto di rilevamento basato su Sigma

Un noto gruppo APT, Lazarus, sponsorizzato dal governo della Corea del Nord, amplia la sua superficie di attacco, prendendo di mira entità nel settore chimico insieme a organizzazioni IT, principalmente in Corea del Sud. I ricercatori ritengono che l’ultima campagna sia parte dei piani di Operation Dream Job di Lazarus, rilevati nell’agosto 2020.

Rilevamento delle Attività Lazarus

SOC Prime ha rilasciato un set di regole Sigma volte a rilevare l’attività APT di Lazarus, create dai nostri esperti sviluppatori di Threat Bounty Osman Demir and Nattatorn Chuensangarun, che sono sempre alla ricerca di nuove minacce. Utilizza i seguenti contenuti di rilevamento per scansionare il tuo sistema per trovare risultati dannosi relativi ai recenti attacchi dell’APT Lazarus:

Persistenza sospetta di Lazarus APT tramite l’aggiunta di attività programmate (via sicurezza) – individua la presenza del gruppo APT Lazarus relativa alla creazione di attività programmate sul sistema della vittima

Possibile attività del gruppo Lazarus tramite rilevamento di file associati [Mirato al Settore Chimico] (via file_event) – questa regola rivela l’attività di Lazarus associata a file dannosi rilevanti

Possibile esecuzione del gruppo Lazarus per catturare schermate (SiteShoter) di pagine web (via process_creation) – individua l’attività di Lazarus associata all’utilizzo di file .dat dannosi

Possibile esecuzione del gruppo Lazarus tramite iniezione nel software di gestione del sistema INISAFE Web EX Client (via process_creation) – identifica le tracce lasciate dagli hacker di Lazarus iniettando file DLL nel client INISAFE Web EX

Esecuzione sospetta di Lazarus APT attraverso la creazione di un servizio di sistema (via process_creation) – questa regola rileva l’attività del gruppo APT Lazarus relativa alla creazione di servizi di sistema sul sistema della vittima

Possibile persistenza del gruppo Lazarus tramite attività programmate create mirate al settore chimico (via process_creation) – il rilevamento scova l’attività del gruppo Lazarus segnato dai tentativi degli avversari di garantire la loro persistenza.

Segui gli aggiornamenti sui contenuti di rilevamento relativi all’APT Lazarus nel repository Threat Detection Marketplace della piattaforma SOC Prime qui. Sei un cacciatore di minacce che lavora su rilevamenti malware basati su Sigma o Yara? Unisciti al nostro programma Threat Bounty per condividere le tue regole tramite il repository del Threat Detection Marketplace e ottenere supporto dalla comunità con tonnellate di altri vantaggi, incluso il rendere questo una considerevole fonte di reddito.

Visualizza le Rilevazioni Iscriviti a Threat Bounty

piani di Operation Dream Job

L’attività Lazarus soprannominata piani di Operation Dream Job comporta lo sfruttamento di false opportunità di lavoro per ingannare le vittime a seguire link dannosi o fare clic su file infetti, con conseguente distribuzione di malware di spionaggio. I ricercatori di Symantec hanno etichettato questo ramo dell’attività di Lazarus Pompilus. Il lancio della campagna risale all’estate del 2020.

I picchi nell’attività di piani di Operation Dream Job sono stati notati nell’agosto 2020 e nel luglio 2021, con le precedenti campagne che prendevano di mira i settori governativo, della difesa e dell’ingegneria. La campagna attuale è iniziata all’inizio del 2022 ed è ancora in corso, condividendo lo stesso set di strumenti e tecniche delle campagne precedenti.

Analisi dell’Ultima Catena di Attacco del Gruppo Lazarus

L’APT sponsorizzato dallo stato e collegato alla Corea del Nord è sotto i riflettori almeno dal 2009, coinvolto in attacchi di alto profilo, comprese campagne di spionaggio informatico. All’inizio del 2022, il gruppo Lazarus è stato avvistato in un attacco di spear-phishing che sfrutta l’aggiornamento di Windows e il server C&C di GitHub per diffondere malware. Sulle orme dell’ attacco iniziale, gli hacker di Lazarus sono stati segnalati per tentativi successivi di abusare di Windows Update e GitHub per bypassare i rilevamenti utilizzando macro dannose.

I cacciatori di minacce di Symantec hanno recentemente rivelato la campagna di spionaggio informatico in corso che prende di mira il settore chimico e IT della Corea del Sud, che sembra essere una continuazione della famigerata campagna malware soprannominata piani di Operation Dream Job iniziata nel 2020. Strumenti e IoC simili rilevati in entrambe le campagne servono come prove plausibili per collegarle. I primi segnali di una nuova ondata di attacchi informatici collegati all’attività di piani di Operation Dream Job risalgono a gennaio 2022, quando Symantec ha avvertito le organizzazioni, principalmente nel settore chimico, di rimanere vigili per potenziali attacchi informatici da parte di Lazarus APT mirati a rubare proprietà intellettuale. In particolare, l’avvertimento di Lazarus di Symantec è stato rilasciato lo stesso giorno in cui il governo degli Stati Uniti ha segnalato una ricompensa di $5 milioni per dati rilevanti che potrebbero contribuire a interrompere gli sforzi nordcoreani di eludere le sanzioni.

Il primo elemento della catena di attacco è la ricezione e la distribuzione del file HTM dannoso sul sistema della vittima, con il suo conseguente embedding nel software della gestione client INISAFE Web EX. Normalmente, il file DLL utilizzato nella catena d’infezione è uno strumento trojanizzato che scarica e lancia un payload extra da un server C&C con un parametro URL specifico chiave/valori ‘prd_fld=racket.

I ricercatori hanno rivelato il movimento laterale nella rete bersaglio utilizzando Windows Management Instrumentation (WMI) insieme al dump delle credenziali e alla pianificazione delle attività impostate per essere eseguite come un utente particolare. Inoltre, gli hacker di Lazarus hanno sfruttato strumenti di registrazione IP, il protocollo WakeOnLAN per accendere o spegnere il computer da remoto, il Protocollo di Trasferimento File (FTP) eseguito sotto il processo MagicLine, e altri strumenti.

The piani di Operation Dream Job le campagne sono in corso da un paio di anni, con le tattiche degli avversari ancora efficaci e che rappresentano una seria minaccia per le organizzazioni in diversi settori. Pertanto, implementare un approccio proattivo alla sicurezza informatica e migliorare la postura cybersecurity può aiutare le organizzazioni a resistere agli attacchi APT sofisticati di tale portata. Unisciti alla piattaforma Detection as Code di SOC Prime per rimanere un passo avanti agli attaccanti e portare le tue capacità di difesa informatica al livello successivo.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Accedi alla Funzionalità di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla Funzionalità di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards Tradurre da Sigma in 48 Lingue 2 min di lettura Piattaforma SOC Prime Tradurre da Sigma in 48 Lingue by Steven Edwards
Tutte le notizie