オペレーションブラックスミス検出：ラザルスAPTがCVE-2021-44228エクスプロイトを使用して新しいD言語ベースのマルウェアを展開

敵対者は、Log4j Javaライブラリの悪名高いセキュリティ欠陥に注目しています。その欠陥は CVE-2021-44228、別名Log4Shellとして追跡されており、その公開から数年たっても依然として注目されています。「Operation Blacksmith」と呼ばれる新しいキャンペーンは、DLangで書かれた新しいマルウェアストレイン、特に新しいRATを展開するためにLog4Shellの脆弱性を悪用しています。北朝鮮のAPT Lazarus Group が新たに発見されたOperation Blacksmithの背後にいると考えられています。 

Lazarus APTに関連するOperation Blacksmith活動を検出 

北朝鮮に支援されているAPTグループは、複数の業界セクターにおいて、グローバルな組織に脅威を与え続けています。2009年以来、熟練し、資金力のあるハッキング集団として認識されている悪名高いLazarus Groupは、最新のOperation Blacksmithキャンペーンで再び登場しています。SOC Primeプラットフォームは、Lazarusの侵入をタイムリーに見極めるためのキュレーションされた検出アルゴリズムをディフェンダーに提供します。以下のリンクを辿って、MITRE ATT&CK®にマップされたSigmaルールを入手し、カスタムインテリジェンスで強化された、数十のセキュリティ分析プラットフォームに特化したルールを入手してください。

Lazarus APTに帰属するOperation Blacksmithキャンペーンを検出するSigmaルール

また、Onyx Sleet別名Andariel APTというLazarusの傘下で活動する北朝鮮の国家支援サブグループによる攻撃からの防御のために、セキュリティエンジニアは検出に頼ることができます：

Andariel APTに関連する攻撃を検出するSigmaルール

Onyx Sleetに関連する攻撃を検出するSigmaルール 

クリック 検出を探る して、Lazarusに関連する攻撃のために適切にタグ付けされた全検出スタックにアクセスします。ATT&CKやCTIのリンクを含む広範なメタデータに飛び込み、脅威調査を効率化します。あるいは、選び抜かれた検出を掘り下げて、 Hidden Cobra or のAPT38攻撃 から積極的に防御するためにカスタムタグで絞り込んでください。 

検出を探る

Operation Blacksmith分析：CVE-2021-44228の悪用による新しいTelegramベースのマルウェア展開の洞察

国家支援のハッキング集団 Lazarus （別名APT38、Dark Seoul、またはHidden Cobra）は、北朝鮮から、2年前のCVE-2021-44228、別名 Log4Shell脆弱性 を使用して、DLangプログラミング言語で開発された3つの新しいマルウェアストレインを広め続けています。これらの新たに特定されたマルウェアファミリには、NineRATとDLRATという2つの未知のRATと、BottomLoaderと呼ばれる悪意のあるダウンローダが含まれています。この新しいキャンペーンは Cisco Talosによって発見された 「Operation Blacksmith」という名前の下で注目を集めており、攻撃者の主なターゲットは製造業、農業、および物理的セキュリティセクターです。

攻撃の連鎖は、CVE-2021-44228がターゲットのサーバーへのエントリーポイントとして成功裏に悪用されるところから始まります。最初のアクセスを取得した後、Lazarusは予備的な偵察を実施し、それがカスタムインプラントを侵害されたシステムに展開する道を開きます。その後、LazarusはHazyLoadを導入します。これは侵害されたシステムへの直接アクセスを作成するよう設計されたプロキシツールで、CVE-2021-44228の再度の悪用の必要性を排除します。ハッカーはシステムに追加のユーザーアカウントを構築し、管理者権限を付与します。認証情報のダンプが成功した後、LazarusはNineRATを影響を受けたシステムにインストールします。NineRATは、C2通信のためにTelegram APIを使用します。このマルウェアには、永続性を作り出し、大元のバイナリを起動するためのドロッパーが含まれています。Telegramの使用は、C2通信のために合法的なサービスを活用することで、検出回避を狙うと高く可能性があります。

Telegramに依存しないマルウェアであるDLRATは、侵害されたシステムに追加のペイロードを展開することを可能にします。デバイス上で初回起動されると、DLRATは基本的なシステムデータを収集するための事前定義されたコマンドを実行し、さらにC2サーバーに送信します。

Blacksmith Operationで使用される3番目のマルウェアであるBottomLoaderは、DLangベースのダウンローダで、事前定義されたURLからのペイロードを一覧および実行するためのシステム偵察を目的としています。BottomLoaderは、Lazarus APTが影響を受けたシステムからC2サーバーにファイルを転送することを可能にし、操作の柔軟性を向上させます。

Talosの研究者たちは、過去18ヶ月にわたり、LazarusがQtFramework、PowerBasic、そして最も最近ではDLangで書かれたような非伝統的な技術を用いて開発されたRATを活用していることを観察しました。

特に、Talosは、観察された敵対者のTTPに基づく最近のLazarusキャンペーンの類似性も追跡しており、それらは北朝鮮の国家支援グループOnyx Sleet (別名PLUTONIUM)としても追跡され、Andariel APTグループとしても知られると一貫しています。後者は、Lazarusの傘下で活動しているAPTサブユニットとして一般的に認識されています。

Operation Blacksmithは、Lazarus GroupのTTPの重要な変化を示し、悪意のあるアクターによって使用される敵対者ツールキットの継続的な進化を示しています。SOC Primeプラットフォームにログインして 6,000を超えるコンテンツ を持つThreat Detection Marketplaceリポジトリにアクセスし、あらゆる規模の既存および新たなAPT攻撃を積極的に検出してください。