Contenuto di Threat Hunting: Trojan TAINTEDSCRIBE

La scorsa settimana, CISA, FBI e DoD hanno rilasciato rapporti di analisi di malware sui recenti strumenti scoperti del noto gruppo Lazarus che svolgono operazioni nell’interesse del governo nordcoreano. Le varianti di malware, chiamate COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, possono essere utilizzate per il riconoscimento e l’eliminazione di informazioni riservate sui sistemi target. Il malware TAINTEDSCRIBE viene utilizzato come impianto backdoor mascherato da Narratore di Microsoft. Il gruppo Lazarus lo usa per scaricare moduli dannosi dal server C&C, scaricare ed eseguire file, abilitare l’interprete della riga di comando di Windows, creare e terminare processi.

Il gruppo Lazarus (noto anche come Hidden Cobra) è uno degli attori di minacce più pericolosi che conduce sia attacchi a scopo finanziario sia campagne di spionaggio informatico. Gli aggressori sono riusciti a rubare circa 2 miliardi di dollari, in diversi casi, il gruppo ha utilizzato il malware TrickBot (il Progetto Anchor) per iniziare a penetrare l’organizzazione di interesse. 

Nuova regola di ricerca delle minacce di Ariel Millahuel rivela l’attività del gruppo Lazarus nell’utilizzo del Trojan TAINTEDSCRIBE per mantenere la persistenza sulle reti delle vittime e ulteriori sfruttamenti della rete: https://tdm.socprime.com/tdm/info/1Lkj80bX8dHN/-eZsLHIBv8lhbg_ix9AB/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Persistenza, Escalation dei Privilegi

Tecniche: Elementi di Avvio (T1165)

Puoi scoprire di più sulle tattiche utilizzate dal gruppo Lazarus e trovare più contenuti per rilevarle nella sezione MITRE ATT&CK su Threat Detection Marketplace: https://tdm.socprime.com/att-ck/