Vyveva: Nuovo Malware Personalizzato nel Toolkit di Lazarus
Indice:
Gli esperti di ESET hanno scoperto un nuovo campione maligno sfruttato da Lazarus APT per colpire un’azienda di spedizioni sudafricana non identificata. Il malware, denominato Vyveva, ottiene impressionanti capacità di backdoor, che l’attore statale utilizza per attività di ricognizione e cyber-spionaggio.
Panoramica di Vyveva Backdoor
Vyveva è una minaccia personalizzata applicata dal gruppo della Corea del Nord sostenuto dallo stato in operazioni altamente mirate. Finora, gli esperti di sicurezza sono stati in grado di rilevare solo un paio di istanze vittimizzate, entrambe legate all’attacco informatico contro l’azienda di spedizioni nell’estate 2020. Tuttavia, l’analisi mostra che il malware è stato utilizzato nelle campagne di Lazarus fin dalla fine del 2018. Inoltre, condivide molte matrici di codice con la famiglia NukeSped, un’altra minaccia nell’arsenale del gruppo, che consente agli esperti di attribuire Vyveva agli avversari nordcoreani.
ESET dettaglia che il backdoor Vyveva consiste di tre elementi principali: installatore, loader e payload maligno. Il metodo di intrusione iniziale è attualmente inesplorato, tuttavia, i professionisti della sicurezza suggeriscono l’esistenza di un dropper maligno segreto. L’installatore è responsabile della persistenza del loader e inserisce il payload predefinito nel registro. Inoltre, il componente loader decripta il payload con un algoritmo di decrittazione XOR, rendendolo pronto a eseguire l’insieme di funzioni maligne.
Secondo i ricercatori, Vyveva è in grado di eseguire 23 comandi, inclusi esfiltrazione di file, dump di dati, esecuzione di codice arbitrario e timestomping. Sebbene la maggior parte delle funzioni siano tipiche, alcune nella lista sono in grado di risolvere compiti sofisticati. Ad esempio, l’opzione di timestomping consente la copia dei metadati temporali da un file legittimo. E il comando di caricamento file è capace di esfiltrare directory e supportare il filtraggio delle estensioni dei file. Da notare che i comandi possono essere lanciati in modo asincrono ed eseguiti in thread separati.
Rilevamento di Vyveva Backdoor
Per rilevare le attività maligne associate al nuovo strumento Lazarus, puoi scaricare una rule Sigma dalla nostra prolifica sviluppatrice Threat Bounty Kyaw Pyiyt Htet:
https://tdm.socprime.com/tdm/info/HKO3ESP3ZBoF
La rule ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix,
EDR: Sentinel One
MITRE ATT&CK:
Tattiche: Esecuzione, Esfiltrazione, Evasione della Difesa
Tecniche: Esecuzione tramite API (T0871), Esfiltrazione tramite canale di comando e controllo (T1041), Masquerading (T1036)
Inoltre, puoi garantire la tua difesa proattiva contro le intrusioni Lazarus controllando l’elenco completo delle rilevazioni personalizzate disponibili nel Threat Detection Marketplace.
Ottieni un abbonamento gratuito al Threat Detection Marketplace, una piattaforma di Content-as-a-Service (CaaS) leader nel mondo che aiuta i team SecOps a migliorare le loro analisi della sicurezza e resistere agli attacchi informatici nelle prime fasi del loro ciclo di vita. Desideri monetizzare le tue competenze di caccia alle minacce e contribuire alla prima libreria di contenuti SOC del settore? Unisciti al nostro Threat Bounty Program!
