先週、CISA、FBI、およびDoDは マルウェア分析レポートを公開しました 悪名高いラザルスグループの最近発見されたツールについてのもので、これらは北朝鮮政府の利益に適した作業を実行するものです。このマルウェアのバリアントは、COPPERHEDGE、TAINTEDSCRIBE、PEBBLEDASHと呼ばれ、標的システムでの偵察と機密情報の削除に使用されます。TAINTEDSCRIBEマルウェアは、MicrosoftのNarratorとして偽装されたバックドアインプラントとして使用され、ラザルスグループはこれをC&Cサーバーからの悪意あるモジュールのダウンロード、ファイルのダウンロードおよび実行、Windowsコマンドラインインタープリタの有効化、プロセスの作成および終了に利用します。
ラザルスグループ(別名Hidden Cobra)は、財政的動機のある攻撃とサイバースパイ活動の両方を行う最も危険な脅威アクターの1つです。攻撃者たちは 約20億ドルを盗むことに成功しましたいくつかのケースでは、このグループは TrickBotマルウェア(Anchor Project)を使用しました 組織に最初に侵入するために使用されました。
Ariel Millahuelによる新しい脅威ハンティングルールが ラザルスグループのTAINTEDSCRIBEトロイの木馬を使用した活動を明らかにし、被害者のネットワークでの持続性の維持とさらなるネットワークエクスプロイトを行っています: uncovers the Lazarus group activity of using TAINTEDSCRIBE Trojan to maintain persistence on victim networks and further network exploitation: https://tdm.socprime.com/tdm/info/1Lkj80bX8dHN/-eZsLHIBv8lhbg_ix9AB/?p=1
このルールは次のプラットフォームに対する翻訳があります:
SIEM:Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、Logpoint、Humio、RSA NetWitness
EDR:Windows Defender ATP、Carbon Black、Elastic Endpoint
MITRE ATT&CK:
戦術:持続性、特権昇格
技術:スタートアップアイテム(T1165)
ラザルスグループが使用する戦術についてさらに学び、MITRE ATT&CKセクションのThreat Detection Marketplaceでそれらを検出するためのコンテンツを見つけることができます: https://tdm.socprime.com/att-ck/
