Rilevamento di NukeSped: Avvertimento sul Malware NukeSped mentre Colpisce la Corea del Sud
Indice:
Attore di minacce statale Lazarus colpisce di nuovo, questa volta sfruttando il famigerato Log4Shell vulnerabilità nei server VMware Horizons. In questa campagna, gli avversari sfruttano Horizon, prendendo di mira la Repubblica di Corea con un backdoor NukeSped. I primi exploit sono stati documentati a partire da gennaio 2022, con gli hacker di Lazarus avvistati nello sfruttamento di Log4Shell nei prodotti VMware Horizons dalla metà della primavera 2022. Quasi mezzo anno dopo, questi exploit rimangono ancora un problema scottante.
Rileva NukeSped
Sfrutta una nuova regola Sigma sviluppata da un attento sviluppatore di Threat Bounty Sohan G, rilasciata nel repository Threat Detection Marketplace della piattaforma di SOC Prime. La regola consente il rilevamento delle possibili attività dannose associate al malware NukeSped:
Il rilevamento è disponibile per le 20 piattaforme SIEM, EDR & XDR, allineate con l’ultimo quadro MITRE ATT&CK® v.10, affrontando la tattica dell’esecuzione con l’interprete di comandi e script (T1059) come tecnica principale.
La piattaforma leader mondiale per il rilevamento come codice ha aggregato oltre 185K algoritmi di rilevamento e query di threat hunting per diverse piattaforme di sicurezza. Premi il Visualizza Rilevamenti pulsante per sfogliare una ricca libreria di contenuti di rilevamento. Desideri sviluppare le tue regole Sigma, aumentare la velocità di threat hunting e contribuire alle iniziative globali di threat hunting? Unisciti al nostro Programma Threat Bounty!
Visualizza Rilevamenti Unisciti al Threat Bounty
Analisi del Malware NukeSped
Gli attori di minacce sponsorizzati dalla Corea del Nord del Lazarus Group rimangono attivi nel 2022, continuando ad ampliare l’ambito dei loro attacchi, puntando principalmente sui paesi della regione Asia-Pacifico (APAC). Questa volta, gli avversari sfruttano una famigerata Log4Shell vulnerabilità che sta colpendo la libreria di log Java Apache Log4j, che dal dicembre 2021 è stata attivamente abusata da diversi attori di minacce.
Il team di analisi di Ahnlab ASEC ha riportato che gli hacker di Lazarus usano il servizio Apache Tomcat di Vmware Horizon per eseguire uno script PowerShell che sfrutta il Log4j. Il comando PowerShell installa il backdoor nel server compromesso, dove viene utilizzato per il cyber spionaggio, ad esempio, rubando dati sensibili, catturando la tastiera, prendendo screenshot e prelevando payload dannosi da distribuire nel sistema bersaglio, come malware information-stealer a base console.
La variante di malware utilizzata in questa campagna è scritta in C++, usata da Lazarus almeno dal 2020. Secondo i ricercatori, in questa campagna, gli avversari a volte hanno optato per il dispiegamento di Jin Miner, un bot minerario di criptovaluta, per puntare gli host Horizon.
Pronto a esplorare la piattaforma di SOC Prime e vedere il Rilevamento come Codice in azione? Registrati gratuitamente. Oppure unisciti al Programma Threat Bounty per creare i tuoi contenuti e condividerli con la comunità .
