検出コンテンツ: Lazarus APTによるMATAマルチプラットフォームマルウェアフレームワーク

先週、研究者たちは 報告しました 最近悪名高いラザルスAPTツールについて、それは2018年春からこのグループの攻撃に使用されています。彼らの新しい「おもちゃ」はMATAと名付けられ、ロード、オーケストレーター、およびWindows、Linux、macOSシステムを感染させることができる複数のプラグインを含むモジュラークロスプラットフォームフレームワークです。ラザルスグループは、企業を標的とした攻撃においてランサムウェアの展開やデータの盗難にMATAを使用しました。

MATAフレームワークは、攻撃対象のシステムのメモリにプラグインをロードしてコマンドを実行したり、ファイルやプロセスを操作したり、DLLを注入したり、WindowsデバイスでHTTPプロキシやトンネルを作成したりすることができます。攻撃者はまた、macOSやLinuxベースのマシンで新しいターゲットをスキャンするためにMATAプラグインを使用でき、macOSプラットフォームでプロキシサーバーを設定するために使用できるモジュールが発見されました。

オスマン・デミル この脅威を見つけるためにセキュリティソリューションを支援するコミュニティルールを発表しました： https://tdm.socprime.com/tdm/info/4JJxStzvi2TO/dvrEj3MBPeJ4_8xcMrLp/?p=1

このルールは以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行, 防御回避

技法: レジストリを修正 (T1112), Windows管理インストゥルメンテーション (T1047)

昨年末に、奇虎360 Netlabの研究者たちも 情報を公開しました このフレームワークのいくつかの修正について、彼らはそれをDaclsと呼びました。検出のためのコンテンツもThreat Bounty Programの参加者によって開発されました：

Dacls RAT (ラザルスのLinuxマルウェア) by アリエル・ミリェウエル – https://tdm.socprime.com/tdm/info/5HeXUIKc6cVQ/YSA2VHEBjwDfaYjKFOtA/

APT38 – ラザルスDacls RAT Win/Linux検出ルール by Emanuele De Lucia – https://tdm.socprime.com/tdm/info/w26Km1iVJtES/WgepHm8B1pWV9U6sGLzy/

SOC Prime TDMを試してみる準備はできましたか？ 無料でサインアップ。または Threat Bounty Programに参加して 自分のコンテンツを作成し、TDMコミュニティと共有しましょう。