BlueNoroff グループ活動検出: 脅威アクターが Windows の Web マーク (MoTW) 保護を回避する新手法を適用

より大きな一部であるBlueNoroff ラザルスグループは、金銭的利益を得ることを目的としたハッキング集団です。このグループは、暗号通貨の盗難で知られており、初期の侵入には一般的にWord文書やLNKファイルを使用しています。現在、新しい敵対手法を活用しています。最新の攻撃では、BlueNoroffはマルウェア配信のために新しいファイルタイプを試し、WindowsのMark-of-the-Web (MoTW)セキュリティ機能を回避しています。

BlueNoroffのWindows MoTW保護を回避しようとする悪意のある試みを検出する

強い金銭的動機と一連の成功したサイバー攻撃に支えられて、BlueNoroff APTは新しい敵対手法を試すことで攻撃能力の範囲を広げています。SOC PrimeのDetection as Codeプラットフォームは、サイバー防衛者がサイバー脅威の状況を掌握し、新たな脅威に積極的に対抗するのを助けることに焦点を当てています。2023年の始まりに、BlueNoroffグループの悪意のある活動を検出するためのキュレーションされたSigmaルールセットがリリースされました。これには、最新のサイバー攻撃で検出を逃れるために使用された高度な技術と、Windows MoTWセキュリティ機能を回避しようとする試みが含まれています。以下のリンクをフォローして、これら新しい検出を即座にタグ付けしてアクセスしてください。 MITRE ATT&CK® そして私たちの熱心な脅威バウンティ開発者によって書かれました。 Aytek Aytemur and Nattatorn Chuensangarun： 

BlueNoroffグループによる最近の攻撃で使用された新しい手法を検出するためのSigmaルール

The Aytek AytemurによるSigmaルール は、rundll32から実行される疑わしいプロセスを検出します。 marcoor.dll、BlueNoroffグループの敵対活動に関連する悪意のあるファイルです。この検出は、コマンドとスクリプトのインタープリター (T1059) およびユーザー実行 (T1204) を主要技術として、防御回避のためのシステムバイナリプロキシ実行 (T1218) の戦術と共にアドレスします。

上記のリストから、Nattatorn Chuensangarunによる2つの新しいSigmaルールも、コマンドとスクリプトのインタープリター (T1059) 技術を表す実行戦術に対応しています。専用のルールセット内のすべての検出アルゴリズムは、業界をリードするSIEM、EDR、XDR技術と互換性があります。 

サイバーセキュリティの研究者や実務者は、MITRE ATT&CKでタグ付けされた独自のSigmaルールを提供することにより、集団的なサイバー防衛の力を活用して、Detection Engineeringスキルを向上させることができます。私たちの Threat Bounty Program に参加して、SigmaとATT&CKの組み合わせの力を実際に見て、将来の履歴書をコードし、貢献に対する継続的な報酬を得てください。 

変化する脅威の風景の最新情報を入手し、BlueNoroffグループの活動に起因する悪意のある系統をタイムリーに特定するには、 Explore Detections ボタンをクリックしてください。これにより、関連するメタデータで強化されたSigmaルールの包括的なリストに即座にアクセスでき、サイバー脅威の調査を加速させ、サイバー防御能力を強化します。 

Explore Detections

BlueNoroffグループの敵対活動：最新攻撃で観察された行動パターンの分析

悪名高いラザルスグループのサブクラスターを表す北朝鮮のAPT BlueNoroff ラザルスグループ、別名 APT38は、主に金融機関を標的に暗号通貨を盗むハッキング集団としてサイバー脅威アリーナで認識されています。BlueNoroffのクラシックな戦略は、金融機関を脅かし、企業の暗号通貨の移転を傍受することを目的としたフィッシング攻撃ベクトルの使用を意味します。 

最近のサイバーセキュリティの研究者は、グループの敵対ツールキットに新しい悪意のある系を採用し、より効率的なマルウェア配信のために新しいファイルタイプを使用していることを観察しました。BlueNoroffは、企業の従業員を感染チェーンに引き込んで、金融利益を得るために、ベンチャーキャピタル組織や銀行の偽のドメインを70以上作成しました。多数の詐欺ドメインは、日本の金融機関を示すものとして偽装されており、該当業界セクターにおける日本組織を脅かすことへの関心の高まりを示しています。

最新の攻撃では、BlueNoroffはより洗練された敵対戦略を試して、Windowsのセキュリティ機能を経済的に回避し、サイバー防御活動を妨害する効率を向上させています。敵対者は、Visual BasicやWindowsバッチなどの複数のスクリプトを活用し、ISOおよびVHDファイル形式を適用して感染を拡散しています。同グループは、画像ファイルを利用してWindows MoTWフラグを回避し、検出を逃れました。後者は、ユーザーがWebからダウンロードした未知あるいは疑わしいファイルを開こうとする際に警告メッセージを表示するWindowsのセキュリティ機能です。 

進歩的な組織は、悪名高いラザルスグループによるあらゆる規模の攻撃を効率的に阻止するためのサイバー防御能力で完全に装備するために、積極的なサイバーセキュリティ戦略を採用しています。利用してください 445 Sigmaルール を用いて、ラザルスAPT攻撃を無料で検出するか、オンデマンドで関連するTTPに対応する2,400以上の検出からさらに多くを得ることができます。 https://my.socprime.com/pricing/.