ラザルス、韓国の化学セクターとIT産業を標的に：シグマベースの検出コンテンツ

悪名高いAPTグループ、 ラザルスが、北朝鮮政府に支援されて、攻撃対象を拡大し、主に韓国のIT組織と共に化学セクターの企業を攻撃しています。研究者たちは、最新のキャンペーンがラザルスの Dream Job作戦 の一環であり、2020年8月に検知されたものであると信じています。

ラザルス活動の検知

SOC Primeは、熟練のThreat Bounty開発者によって作成された、ラザルスAPT活動を検出するためのSigmaルールの束をリリースしました。 オスマン・デミル and ナッタトーン・チュエンサンガルンは常に新しい脅威を探しています。ラザルスAPTの最近の攻撃に関連する悪意のある結果をシステムでスキャンするために、以下の検知コンテンツを利用してください：

スケジュールされたタスクの追加によるラザルスAPTの不正持続性(セキュリティ経由) – 被害者のシステムでスケジュールタスク作成に関連するラザルスAPTグループの存在を特定します。

関連ファイルの検知による化学産業をターゲットとした可能性のあるラザルスグループ活動(ファイルイベント経由) – 関連する悪意のあるファイルに関連するラザルス活動を明らかにします。

ウェブページのスクリーンショットを撮る(SiteShoter)ための可能性のあるラザルスグループ実行(プロセス作成経由) – 不正な.datファイルの使用に関連するラザルス活動を発見します。

システム管理ソフトウェアINISAFE Web EX Clientへの注入による可能性のあるラザルスグループ実行(プロセス作成経由) – INISAFE Web EX ClientへのDllファイルの注入によって残されたラザルスハッカーの足跡を識別します。

システムサービスの作成によるラザルスAPTの疑わしい実行(プロセス作成経由) – 被害者のシステムでシステムサービス作成に関連するラザルスAPTグループ活動を検出します。

スケジュールタスク作成による化学セクターをターゲットとした可能性のあるラザルスグループの持続性(プロセス作成経由) – ラザルスグループ活動を特定する、敵対者による持続性の確保を目的とした策を調査します。

SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリ内のラザルスAPTに関連する検知コンテンツの更新をフォローしてください こちら。SigmaまたはYaraベースのマルウェア検出に取り組む脅威ハンターですか？Threat Detection Marketplaceリポジトリを通じてルールを共有し、その他の多くの利点とともに、これを重要な収入源にする機会を提供するThreat Bountyプログラムに参加してください。

検知を表示 Threat Bountyに参加

Dream Job作戦

ラザルス活動と呼ばれる Dream Job作戦 は、偽の求人機会を利用して、被害者が悪意のあるリンクをクリックしたり感染したファイルを開いたりするように騙し、その結果、スパイウェアが展開されます。 シマンテック の研究者たちは、このラザルス活動の枝を Pompilusと命名しました。このキャンペーンの開始は2020年夏にさかのぼります。

活動の急増は Dream Job作戦 2020年8月と2021年7月に確認され、以前のキャンペーンは政府、防衛、およびエンジニアリングセクターをターゲットとしていました。現在のキャンペーンは2022年初頭に開始されており、依然として進行中で、先行の”姉妹”キャンペーンと同じ道具と技術を共有しています。

ラザルスグループの最新のキルチェーン攻撃分析

国家支援を受けた北朝鮮に関連するAPTは、少なくとも2009年以来注目されており、サイバースパイ活動を含む著名な攻撃に関与しています。2022年の初めに、ラザルスグループは、Windows UpdateとGitHub C＆Cサーバーを利用したマルウェア拡散のスピアフィッシング攻撃で確認されました。最初の攻撃の後すぐに、ラザルスハッカーはWindows UpdateとGitHubを悪用して、悪意のあるマクロを兵器化して検出を回避しようとする試みが報告されました。 初期攻撃後, ラザルスハッカーはWindows UpdateとGitHubの悪用を試みて、マルウェアの検出を回避しようとする追加の試みが報告されています。

シマンテックの脅威ハンターは、 韓国の化学産業とITセクターをターゲットとした継続的なサイバースパイ活動キャンペーンを最近明らかにし、これは悪名高い Dream Job作戦 マルウェアキャンペーンの続きと思われます。これには同様のツールとIoCが検出されており、両者を結び付ける有力な証拠と見なされる可能性があります。 Dream Job作戦 活動の痕跡は2022年1月に遡り、シマンテックは主に化学セクターで働く組織に注意を促し、知的財産を盗むことを目的としたラザルスAPTによる潜在的なサイバー攻撃に警戒を求めました。特に、シマンテックのラザルス警告と同日に米国政府が北朝鮮の制裁回避の取り組みを妨げるために貢献する可能性のある関連データに500万ドルの報奨金を出していることが報じられました。

キルチェーンの最初の要素は、悪意のあるHTMファイルを被害者のシステムに受け取り展開し、その後INISAFE Web EX Client管理ソフトウェアに埋め込むことです。感染チェーンで使われたDLLファイルは通常、特定のURLパラメータを伴うC＆Cサーバーから追加のペイロードをダウンロードして起動するトロイの木馬のツールです。 キー/値 ‘prd_fld=racket

研究者たちは、Windows Management Instrumentation (WMI)を使った資格情報ダンプとスケジューリングタスクを特定ユーザーで設定し、ターゲットネットワークの横移動を明らかにしました。さらに、ラザルスハッカーはIPロギングツールやWakeOnLANプロトコルを利用して、コンピュータをリモートでオンまたはオフにし、File Transfer Protocol (FTP)をMagicLineプロセスの下で実行するなどの手法を使いました。

The Dream Job作戦 キャンペーンは数年間進行中で、敵対者の戦術は依然として効果的で、複数の産業に対して深刻な脅威をもたらしています。したがって、積極的なサイバーセキュリティアプローチを実施し、セキュリティ体制を向上させることで、組織はこの規模の高度なAPT攻撃に耐えることができます。SOC Primeの Detection as Codeプラットフォーム に参加して、攻撃者より一歩先を行き、サイバー防御能力を次のレベルに引き上げてください。