Attacchi Recenti di Lazarus APT

Il gruppo APT Lazarus è uno dei pochi gruppi di spionaggio cibernetico sponsorizzati dallo stato che si occupa anche di crimini informatici a scopo di lucro ed è l’attore di minacce più redditizio nella scena delle criptovalute, riuscendo a rubare circa 2 miliardi di dollari. Nel solo 2017, il gruppo ha rubato più di mezzo miliardo di dollari in criptovalute, quindi il loro interesse per operatori e scambi non sta diminuendo e recentemente ha lanciato un altro attacco a un’organizzazione di criptovalute. 

Questa volta, APT Lazarus ha sfruttato un trucco già collaudato e ha condotto una campagna di spear-phishing con un falso annuncio di lavoro su LinkedIn mirato a un amministratore di sistema in un’organizzazione di criptovalute mirata. La vittima ha ricevuto il documento dannoso con una macro che crea un file .LNK per chiamare un link bit.ly tramite l’esecuzione di mshta.exe. Successivamente, lo script invia informazioni operative a un server C&C e riceve uno script PowerShell che può recuperare payload utilizzati dal gruppo Lazarus in questa campagna. 

Emir Erdogan ha sviluppato la regola esclusiva che consente il rilevamento dei TTP utilizzati dal gruppo Lazarus durante questo attacco: https://tdm.socprime.com/tdm/info/tjZGrUO4B5k0/fFr1KXQBPeJ4_8xcVrLz/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione, Evasione della difesa

Tecniche: Interfaccia a riga di comando (T1059), Rimozione di indicatori su host (T1070), Modifica del registro (T1112)

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare il tuo contenuto e condividerlo con la community TDM.