NukeSped検出:韓国を襲うNukeSpedマルウェアへの警告

[post-views]
5月 24, 2022 · 6 分で読めます
NukeSped検出:韓国を襲うNukeSpedマルウェアへの警告

国家運営の脅威アクター ラザルス 再び活動中、今回は悪名高い Log4Shell 脆弱性をVMware Horizonsサーバーで悪用しています。このキャンペーンでは、敵対者がHorizonを利用し、NukeSpedバックドアで大韓民国を標的にします。最初に記録された 利用 は2022年1月にさかのぼり、ラザルスのハッカーが2022年の春中頃からVMware Horizons製品でLog4Shellを悪用しているのが発見されています。半年後、これらの悪用は依然として燃え上がる問題であり続けています。

NukeSpedを検出

鋭敏なThreat Bounty開発者による新しいSigmaルールを活用 Sohan Gによって、SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリでリリースされました。このルールにより、NukeSpedマルウェアに関連する可能性のある悪意ある活動の検出が可能になります:

LazarusグループによるLog4Shell脆弱性の悪用検出の可能性 (NukeSped) (via file_event)

この検出は最新のMITRE ATT&CK®フレームワークv.10に沿った20のSIEM、EDR & XDRプラットフォームで利用可能であり、主な技術としてコマンドとスクリプトのインタープリター(T1059)の実行戦術に対応しています。

世界をリードするDetection as Codeプラットフォームは、複数のセキュリティプラットフォーム向けに185K以上の検出アルゴリズムと脅威ハンティングクエリを集約しています。 View Detections ボタンを押して、豊富な検出コンテンツライブラリを参照してください。独自のSigmaルールを作成し、脅威ハンティングの速度を上げ、世界的な脅威ハンティングの取り組みに貢献したいですか? 当社のThreat Bounty Programに参加してください!

View Detections Threat Bountyに参加

NukeSpedマルウェア分析

北朝鮮が支援する脅威アクター ラザルスグループ は2022年も活動を続け、攻撃の範囲を拡大しており、主にアジア太平洋(APAC)地域の国を標的にしています。今回は、有名な Log4Shell 脆弱性を悪用しており、これはApache Log4j Javaロギングライブラリに影響を与えており、2021年12月以降、複数の脅威アクターが活発に悪用しています。

の分析チームによると、ラザルスのハッカーは、Vmware HorizonのApache Tomcatサービスを使用してLog4jを悪用するPowerShellスクリプトを実行しています。このPowerShellコマンドは侵害されたサーバーにバックドアをインストールし、サイバースパイ活動、すなわち機密データの盗難、キーボードキャプチャ、スクリーンショットの撮影、およびターゲットシステムへの展開を目的とした悪意あるペイロードの取得などに使用されます。 の分析チームによると、ラザルスのハッカーは、Vmware HorizonのApache Tomcatサービスを使用してLog4jを悪用するPowerShellスクリプトを実行しています。このPowerShellコマンドは侵害されたサーバーにバックドアをインストールし、サイバースパイ活動、すなわち機密データの盗難、キーボードキャプチャ、スクリーンショットの撮影、およびターゲットシステムへの展開を目的とした悪意あるペイロードの取得などに使用されます。 reported that Lazarus hackers use Vmware Horizon’s Apache Tomcat service to run a PowerShell script exploiting the Log4j. The PowerShell command installs the backdoor on the compromised server, where it is used for cyber espionage, e.g., stealing sensitive data, keyboard capturing, taking screenshots, and fetching malicious payloads to be deployed onto the targeted system, such as console-based information-stealer malware.

このキャンペーンで使用されるマルウェアのバージョンはC++で書かれており、ラザルスは少なくとも2020年から使用しています。研究者によれば、このキャンペーンでは敵対者が時にはHorizonホストを標的にするために、Jin Minerという暗号通貨マイニングボットの展開を選択することがありました。

SOC Primeのプラットフォーム を探索し、Detection as Codeの動作を確認する準備はできていますか?無料でサインアップしてください。または、Threat Bounty Program Threat Bounty Program に参加して独自のコンテンツを作成し、コミュニティと共有してください。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース