Rilevamento dell’Operazione Blacksmith: Lazarus APT usa un exploit CVE-2021-44228 per distribuire nuove varianti di malware basate su DLang
Indice:
Gli avversari hanno puntato su una famosa falla di sicurezza nella libreria Java Log4j tracciata come CVE-2021-44228, alias Log4Shell, anche a un paio di anni dalla sua divulgazione. Una nuova campagna chiamata “Operazione Blacksmith” prevede lo sfruttamento della vulnerabilità Log4Shell per distribuire nuovi ceppi malevoli scritti in DLang, inclusi nuovi RAT. Si ritiene che il Gruppo Lazarus della Corea del Nord sia dietro la neo scoperta Operazione Blacksmith.
Rileva l’attività dell’Operazione Blacksmith collegata all’APT Lazarus
I gruppi APT supportati dalla nazione nordcoreana continuano a rappresentare minacce per le organizzazioni globali in vari settori industriali. Il nefando Gruppo Lazarus, che ha acquisito riconoscimento come collettivo di hacker esperto e ben finanziato, seminando caos dal 2009, riemerge nella più recente campagna Operazione Blacksmith. La piattaforma SOC Prime equipaggia i difensori con algoritmi di rilevamento curati per identificare tempestivamente le intrusioni di Lazarus nella più recente campagna. Segui il link sotto per ottenere regole Sigma mappate a MITRE ATT&CK®, arricchite con intelligenza personalizzata e adattate a dozzine di piattaforme di analisi della sicurezza.
Regole Sigma per rilevare la campagna Operazione Blacksmith attribuita all’APT Lazarus
Inoltre, gli ingegneri della sicurezza possono fare affidamento sui rilevamenti per difendersi dagli attacchi di Onyx Sleet alias Andariel APT, un sottogruppo sponsorizzato dallo stato nordcoreano operante sotto l’ombrello di Lazarus:
Regole Sigma per rilevare attacchi collegati all’APT Andariel
Regole Sigma per rilevare attacchi collegati a Onyx Sleet
Clicca Esplora le Rilevazioni per accedere all’intero stack di rilevamento per attacchi collegati a Lazarus e etichettati di conseguenza. Approfondisci metadati estesi, inclusi collegamenti ATT&CK e CTI, per una ricerca delle minacce semplificata. In alternativa, approfondisci rilevamenti curati per difenderti proattivamente contro APT38 di Hidden Cobra or attacchi filtrati dai tag personalizzati basati sull’attribuzione degli attori correlati.
Analisi dell’Operazione Blacksmith: Approfondimenti sullo sfruttamento di CVE-2021-44228 per distribuire nuovo malware basato su Telegram
Il collettivo di hacking supportato dalla nazione Lazarus (alias APT38, Dark Seoul o Hidden Cobra) dalla Corea del Nord continua a utilizzare come arma il CVE-2021-44228 vecchio di 2 anni alias vulnerabilità Log4Shell per la diffusione di tre nuovi ceppi di malware sviluppati nel linguaggio di programmazione DLang. Queste famiglie di malware recentemente identificate includono due RAT precedentemente sconosciuti chiamati NineRAT e DLRAT, accompagnati da un downloader malevolo soprannominato BottomLoader. La nuova campagna scoperta da Cisco Talos è emersa alla ribalta con il nome di “Operazione Blacksmith”, con i settori manifatturiero, agricolo e della sicurezza fisica come obiettivi principali degli attaccanti.
La catena d’attacco inizia con lo sfruttamento riuscito di CVE-2021-44228 che serve come punto d’ingresso nei server bersaglio. Dopo aver ottenuto l’accesso iniziale, Lazarus conduce una ricognizione preliminare, che poi spiana la strada per distribuire un impianto personalizzato sul sistema compromesso. Successivamente, Lazarus distribuisce HazyLoad, uno strumento proxy progettato per creare l’accesso diretto al sistema compromesso, eliminando la necessità di uno sfruttamento ricorrente di CVE-2021-44228. Gli hacker istituiscono anche un account utente aggiuntivo sul sistema, dotandolo di privilegi amministrativi. Dopo il dump delle credenziali riuscito, Lazarus procede a installare NineRAT sui sistemi colpiti. NineRAT utilizza l’API di Telegram per la comunicazione C2. Il malware include un dropper progettato per creare persistenza e avviare i binari principali. L’uso di Telegram è molto probabilmente utilizzato per l’evasione del rilevamento sfruttando un servizio legittimo per la comunicazione C2.
Il malware non basato su Telegram noto come DLRAT consente agli hacker Lazarus di distribuire payload aggiuntivi sui sistemi compromessi. Alla prima attivazione su un dispositivo, DLRAT esegue comandi predefiniti per raccogliere dati di sistema di base, che vengono ulteriormente inviati al server C2.
Il terzo malware utilizzato nell’Operazione Blacksmith, chiamato BottomLoader, è un downloader basato su DLang destinato alla ricognizione di sistema che recupera ed esegue payload da un URL predefinito tramite PowerShell. BottomLoader consente all’APT Lazarus di trasferire file dal sistema colpito al server C2, aumentando la flessibilità operativa.
I ricercatori di Talos hanno osservato che negli ultimi 18 mesi, Lazarus ha sfruttato RAT sviluppati tramite tecnologie non convenzionali, inclusi QtFramework, PowerBasic e, più recentemente, scritti in DLang.
Notoriamente, Talos traccia anche somiglianze tra la più recente campagna Lazarus basata sugli avversari osservati TTPs che sono coerenti con il gruppo sponsorizzato dal governo nordcoreano Onyx Sleet (alias PLUTIONIUM), anche tracciato come il gruppo APT Andariel. Quest’ultimo è generalmente riconosciuto come un sottounità APT che opera sotto l’ombrello di Lazarus.
L’Operazione Blacksmith segna un cambiamento significativo nell’evoluzione dei TTPs del Gruppo Lazarus, mostrando l’evoluzione continua del toolkit dell’avversario impiegato dagli attori malevoli. Accedi alla piattaforma SOC Prime per ottenere l’accesso a oltre 6000 pezzi di contenuto dal repository Threat Detection Marketplace per rilevare proattivamente attacchi APT esistenti ed emergenti di qualsiasi portata.
