ラザルスAPTが再浮上し、Windows UpdateとGitHubを悪用

2022年に入って1か月、攻撃が減少する気配はなく、それどころかサイバーセキュリティ分野は活況を呈しています。風景はおなじみです: 潜んでいるハッカーと、彼らを休ませないように懸命に働くセキュリティ専門家。

1月下旬に、新しい 攻撃キャンペーンが、北朝鮮関連のAPTによって発動されたことを、Malwarebytesの脅威インテリジェンスチームが発見しました。今回、この国家支援の攻撃者はWindows Updateサービスを利用してマルウェアを配布し、GitHubをコマンド・アンド・コントロールサーバーとして利用しています。

HIDDEN COBRA

ラザルスグループは、北朝鮮政府が支援する悪名高いハッカー組織です。この集団は少なくとも2009年から監視されており、サイバー戦争やサイバースパイ活動、ランサムウェア攻撃など、数多くの著名なキャンペーンの背後にいると考えられています。

北朝鮮のサイバープログラムは、スパイ活動、窃盗、攻撃の脅威を持続させ、数多くの悪意のあるサイバー集団を大いに支援しています。北朝鮮政府がスポンサーの犯罪サイバー活動の広大な分野で発生する誤名称を除去するために、ラザルスグループは多くのニックネームで知られており、Andariel、キムスキー、APT37、APT38のようなものはサブグループに関連し、北朝鮮国家が運営する悪意のあるサイバー活動を総称する名前としてHIDDEN COBRAが使用されています。

この集団の最も使用される方法は、マルウェアの配布、ゼロデイ攻撃、スピアフィッシング、偽情報、バックドアです。

最新の攻撃キルチェーン

最も最近のラザルス攻撃事例は2022年1月18日に報告されました。しかし、このキャンペーンは2021年後半から稼働していたことを示唆するデータがあります。今回、ラザルスグループはWindows UpdateとGithubを利用して検出を回避し、PCにマルウェアを感染させようとしています。攻撃はWordドキュメントに埋め込まれた悪意のあるマクロを実装するところから始まります。より具体的には、脅威アクターはLockheed Martinグローバル企業での新しい仕事の機会を提示される2つのマクロ埋め込み文書を利用しています:

Lockheed_Martin_JobOpportunities.docx

Salary_Lockheed_Martin_job_opportunities_confidential.doc

被害者が武器化されたファイルを開くと、マルウェアはターゲットデバイスでの起動持続性を獲得するために一連のインジェクションを実行します: 埋め込みマクロは、スタートアップフォルダにWindowsUpdateConf.lnkファイルと、Windows/System32フォルダにDLLファイル（wuaueng.dll）をドロップします。

悪意のあるDLLは、Windows Updateクライアントを使用して実行され、検出を回避します。セキュリティレーダーの下に留まることを目的としたもう一つの手法としては、C2通信にGitHubを採用することです。

最新のラザルス攻撃の検出

可能な攻撃を識別し、新しいラザルスのスピアフィッシング妥協を修正するには、一連の無料のSigmaルールをダウンロードしてください。このコンテンツは、我々の敏腕Threat Bounty開発者 Nattatorn Chuensangarun and Onur Atali.

ラザルスAPTはプロセス作成を介して悪意のあるマクロを実行する

北朝鮮のラザルスAPT GitHubキャンペーンファイルイベントを介して

ラザルスAPTは、ファイルイベントを介してWindows Updateクライアント、GitHubを活用する

Lazarus APTに関連する検出の完全なリストは、SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで利用可能です こちら.

SOC PrimeのDetection as Codeプラットフォームに無料でサインアップして、セキュリティ環境内での最新の脅威を検出し、ログソースとMITRE ATT&CKカバレッジを改善し、組織のサイバー防御能力全般を向上させましょう。独自のSigmaルールを作成したいですか？我々のThreat Bountyプログラムに参加して、あなたの価値ある貢献に報奨を受け取ってください。

プラットフォームに行く Threat Bountyに参加する