ラザルスAPTの最近の攻撃

ラザルスAPTグループは、国家支援のサイバースパイユニットのうち、 経済的動機を持つサイバー犯罪も手掛ける数少ないグループです。 そして、仮想通貨の領域では最も利益を上げている脅威アクターであり、約20億ドルを盗むことに成功しました。2017年だけでも、グループは仮想通貨で5億ドル以上を盗んでおり、トレーダーや取引所への関心は薄れておらず、最近、仮想通貨組織への新たな攻撃を開始しました。

今回、ラザルスAPTは既に実証された手口を利用し、標的となった仮想通貨組織のシステム管理者を狙った偽のLinkedIn求人広告を使用したスピアフィッシングキャンペーンを展開しました。被害者はマクロが含まれた悪意のあるドキュメントを受け取り、.LNKファイルを作成し、mshta.exeの実行を介してbit.lyリンクを呼び出します。その後、スクリプトはC＆Cサーバーに運用情報を送信し、このキャンペーンでラザルスAPTが使用するペイロードを取得できるPowerShellスクリプトを受け取ります。

エミル・エルドガン は、この攻撃でラザルスグループによって活用されたTTPを検出する排他的なルールを開発しました： https://tdm.socprime.com/tdm/info/tjZGrUO4B5k0/fFr1KXQBPeJ4_8xcVrLz/?p=1

このルールは次のプラットフォーム向けに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 実行, 防衛回避

技法: コマンドラインインターフェース (T1059), ホスト上でのインジケータ除去 (T1070), レジストリの変更 (T1112)

SOC Prime TDMを試してみませんか？ 無料でサインアップ。または 脅威バウンティプログラムに参加 して、独自のコンテンツを作成し、TDMコミュニティと共有しましょう。