La scorsa settimana, CISA, FBI e DoD hanno rilasciato rapporti di analisi di malware sui recenti strumenti scoperti del noto gruppo Lazarus che svolgono operazioni nell’interesse del governo nordcoreano. Le varianti di malware, chiamate COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, possono essere utilizzate per il riconoscimento e l’eliminazione di informazioni riservate sui sistemi target. Il malware TAINTEDSCRIBE viene utilizzato come impianto backdoor mascherato da Narratore di Microsoft. Il gruppo Lazarus lo usa per scaricare moduli dannosi dal server C&C, scaricare ed eseguire file, abilitare l’interprete della riga di comando di Windows, creare e terminare processi.
Il gruppo Lazarus (noto anche come Hidden Cobra) è uno degli attori di minacce più pericolosi che conduce sia attacchi a scopo finanziario sia campagne di spionaggio informatico. Gli aggressori sono riusciti a rubare circa 2 miliardi di dollari, in diversi casi, il gruppo ha utilizzato il malware TrickBot (il Progetto Anchor) per iniziare a penetrare l’organizzazione di interesse.
Nuova regola di ricerca delle minacce di Ariel Millahuel rivela l’attività del gruppo Lazarus nell’utilizzo del Trojan TAINTEDSCRIBE per mantenere la persistenza sulle reti delle vittime e ulteriori sfruttamenti della rete: https://tdm.socprime.com/tdm/info/1Lkj80bX8dHN/-eZsLHIBv8lhbg_ix9AB/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Persistenza, Escalation dei Privilegi
Tecniche: Elementi di Avvio (T1165)
Puoi scoprire di più sulle tattiche utilizzate dal gruppo Lazarus e trovare più contenuti per rilevarle nella sezione MITRE ATT&CK su Threat Detection Marketplace: https://tdm.socprime.com/att-ck/
