Lazarus APT Targets Japanese Organizations with VSingle and ValeforBeta Malware

セキュリティ研究者は、日本の組織を標的とする、悪名高いLazarus APTによって展開されている継続的な悪意のある活動を観察しています。感染のほとんどは同じルーチンに従い、 VSingleおよびValeforBetaマルウェアサンプルに依存しています。

VSingleおよびValeforBetaの分析

The 最新の 調査 友長秀征によると、VSingleマルウェアはHTTPボットとして機能し、ターゲットのインスタンスに二次的な悪意のあるストレインをダウンロードして実行するよう設計されています。インストールされると、マルウェアはExplorerを起動し、DLL注入を使用してその悪意のある活動を隠し、攻撃者のコマンド＆コントロール（C＆C）サーバーと通信して追加の指示を受け取ります。VSingleの機能はかなり単純で、プラグインのダウンロードと実行、任意のコードの実行、追加情報の送信、攻撃下のマシンへのファイルのロードを可能にします。ge malicious strains on the targeted instance. Once installed, the malware launches Explorer, hides its nefarious activity with the help of DLL injection, and communicates to the attacker’s command and control (C&C) server to receive further instruction. VSingle functionality is rather simple and allows the malware to download and execute plugins, execute arbitrary code, send additional information, and load files to the machine under attack.

ValeforBetaもまた、VSingleと比較してさらに単純な機能を持つHTTPボットです。ValeforBetaはコードの実行、リモートネットワークからのファイルのアップロードまたはダウンロード、システムデータの攻撃者サーバーへの送信を行うことができます。

観察された両方の悪意のあるストレインは、足場を確保し、感染したインスタンスに追加の攻撃ツールをアップロードするために役立ちます。特に、感染プロセス中にLazarusのハッカーは、サーバーとの通信を確立し、基本的な偵察を行い、ターゲットリソースを制御するために合法的な3proxy、Stunnel、Plinkソフトウェアを適用します。

Lazarus攻撃の検出

VSingleおよびValeforBetaに関連する悪意のある活動から防御するために、私たちのアクティブなスレットバウンティ開発者である エミル・エルドガンは、コミュニティSigmaルールを発表しました： https://tdm.socprime.com/tdm/info/VNJk0ZZEmheD/AA2UbngBFLC5HdFVMDc5 

このルールは次のプラットフォーム向けに翻訳されています：

SIEM：Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR：Carbon Black

MITRE ATT&CK：

戦術：実行、横方向移動、コマンド＆コントロール、

技術：コマンドラインインターフェース（T1059）、リモートファイルコピー（T1544）

アクター：Lazarusグループ

北朝鮮によって支援されるLazarus APTグループは、金融利益と政治介入を目的としたさまざまな悪意のあるキャンペーンを展開するために非常に活発です。2009年以来、 Lazarus は、ソニー・ピクチャーズの侵害、バングラデシュ中央銀行の強盗、WannaCry攻撃を含むさまざまな重要なサイバーセキュリティ事件に関連付けられています。COVID-19の発生は侵入経路と国家支援俳優の標的リストを拡大しました。昨年、このグループは複数の暗号通貨取引所とワクチンを開発している製薬企業への攻撃に関与しました。2021年は、Operation Dream Job中に航空宇宙および防衛請負業者に対する悪意のある活動が特徴的でした。Lazarus APTに関連する悪意のある活動を特定し、潜在的なサイバー攻撃に対して積極的に対応するには、専用の 検出コンテンツ を、Threat Detection Marketplaceで確認してください。

使用しているSIEM、EDR、NTDRツールに対応する最適なSOCコンテンツをお探しですか？無料でサブスクリプションを取得し、 Threat Detection Marketplace にアクセスし、様々な形式に簡単に変換できる10万以上の検出および応答ルールを入手してください。コーディングを楽しみ、業界初のSOCコンテンツライブラリに貢献したいですか？私たちの Threat Bounty Program!

に参加してください。 Threat Bountyに参加する