ラザルスグループが再出現、Log4jの脆弱性を悪用しMagicRATを拡散

ラザルスグループは、APT38、Dark Seoul、Hidden Cobra、Zincとしても知られ、2009年以来破壊的活動を続けている、高度な訓練を受けた豊富な資金力を持つ国家支援型の犯罪ハッカーの集団として知られています。

最近のキャンペーンでは、ラザルスはVMWare Horizonプラットフォームの脆弱性、例えば著名な Log4j の欠陥を利用して、新しいマルウェアMagicRATを展開しました。この悪名高いAPTは、米国、日本、カナダのいくつかのエネルギー企業を目標にこの一連の攻撃を実施しました。

ラザルスグループ活動の検知

可能性のある攻撃を特定し、新しいラザルスのスピアフィッシング妥協を修正するために、無料のSigmaルールのバッチをダウンロードすることをお勧めします。コンテンツは、我々の意欲的なThreat Bountyデベロッパー Emir Erdogan:

によってリリースされました。Lazarus APTグループ活動の非常に疑わしいスケジュールタスク作成 (MagicRAT検出 via process_creation)

非常に疑わしいラザルスAPTグループ活動 (MagicRAT検出 via file_creation)

非常に高い可能性でラザルスAPTグループによるRAT使用 (via process_creation)

The Sigmaルール は26のSIEM、EDR、XDRソリューションに簡単に変換でき、 MITRE ATT&CK®フレームワーク バージョン10に準拠しています。

ラザルスAPTに関連する検出の完全なリストは、業界初の無料ツールであるCyber Threats Search Engineで確認できます。サイバー脅威の情報を詳細に検索し、サブセカンドの検索性能で関連するコンテキストを提供します。SOC Primeの検索エンジンは、革新的な Detection as Codeプラットフォームによって強化されており、即座にSigmaルールと関連するコンテキスト情報を提供し、脅威検知の運用を効果的に簡素化します。MITRE ATT&CKリファレンスや攻撃トレンドの可視化、脅威インテリジェンスの洞察も含まれています。 検出結果を探る ボタンを押してさらに学びましょう。

検出結果を探る  

最新のラザルス攻撃キャンペーン分析

Cisco Talos は、北朝鮮のラザルスグループによって開始された新しい悪意のあるキャンペーンの概要を発表しました。敵対者は、新しい特製のインプラントであるMagicRATを導入しました。これはC++で書かれたリモートアクセス型トロイの木馬です。このマルウェアはシステム偵察を行い、スケジュールタスクの作成によって持続性を確立し、任意のコードの実行やファイルの変更も可能にします。さらに新しいRATは追加のペイロードを取得します。研究データによれば、脅威アクターはMagicRATサンプルをTigerRATのような他のカスタムビルドのRATと共に使用しています。研究された例は、Qtフレームワークでプログラムされており、人間による解析を複雑にしています。

観察された攻撃やニュース報道に基づけば、この北朝鮮の国家支援集団は、異なるツールや技術への依存を強化し、SOCプロフェッショナルに継続的な混乱を引き起こしていることが明らかです。

毎日、最新の脅威の検出を公開しており、セキュリティプロフェッショナルを不安定な脅威の状況を通じて導いています。 オンデマンド サブスクリプションプランで、好みのコンテンツを即座にアンロックし、時間を節約しパフォーマンスを向上させることができます。最新のトレンドに乗り、SOC Primeが提供する業界固有のソリューションで貴社のサイバー回復力を強化しましょう。