라자루스 APT, VSingle 및 ValeforBeta 악성코드로 일본 조직 타겟팅
목차:
보안 연구원들은 악명 높은 라자루스 APT에 의해 일본 조직을 대상으로 시작된 지속적인 악성 활동을 관찰하고 있습니다. 대부분의 감염은 동일한 루틴을 따르며 VSingle과 ValeforBeta 악성코드 샘플에 의존합니다.
VSingle과 ValeforBeta 분석
The 최신 조사 Shusei Tomonaga의 연구에 따르면 VSingle 악성코드는 HTTP 봇으로 작동하여 두 번째 단계의 악성 스트레인을 표적 인스턴스에 다운로드 및 실행하도록 설계되었습니다. 설치되면 이 악성코드는 탐색기를 실행하고 DLL 인젝션을 통해 악의적인 활동을 숨기며 공격자의 명령 및 제어(C&C) 서버와 통신하여 추가 지침을 수신합니다. VSingle의 기능은 단순하며 악성코드가 플러그인을 다운로드 및 실행하고 임의 코드를 실행하며 추가 정보를 전송하고 공격 중인 기계에 파일을 로드할 수 있도록 합니다.ge malicious strains on the targeted instance. Once installed, the malware launches Explorer, hides its nefarious activity with the help of DLL injection, and communicates to the attacker’s command and control (C&C) server to receive further instruction. VSingle functionality is rather simple and allows the malware to download and execute plugins, execute arbitrary code, send additional information, and load files to the machine under attack.
ValeforBeta 또한 간단한 기능을 가진 HTTP 봇입니다. ValeforBeta는 코드 실행, 원격 네트워크에서 파일 업로드 및 다운로드, 시스템 데이터를 공격자의 서버로 전송할 수 있습니다.
관찰된 두 악성 스트레인은 감염된 인스턴스에 추가 공격 도구를 업로드하여 발판을 마련하는 데 사용됩니다. 특히 감염 과정 중에 라자루스 해커들은 합법적인 3proxy, Stunnel, Plink 소프트웨어를 사용하여 공격자의 서버와 통신을 설정하고, 기본적인 정찰을 수행하며 표적 자원을 제어합니다.
라자루스 공격 탐지
VSingle 및 ValeforBeta 악성코드와 관련된 악성 활동을 방어하기 위해, 우리 활발한 Threat Bounty 개발자인 Emir Erdogan이 커뮤니티 Sigma 규칙을 릴리스했습니다: https://tdm.socprime.com/tdm/info/VNJk0ZZEmheD/AA2UbngBFLC5HdFVMDc5
이 규칙은 다음 플랫폼에 번역되어 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
전술: 실행, 측면 이동, 명령 및 제어,
기술: 커맨드라인 인터페이스 (T1059), 원격 파일 복사 (T1544)
행위자: 라자루스 그룹
북한 정부 후원의 라자루스 APT 그룹은 재정적 이득과 정치적 개입을 위해 다양한 악성 캠페인을 매우 활발하게 감행하고 있습니다. 2009년 이후로, 라자루스 는 Sony Pictures 해킹, 방글라데시 중앙은행 강탈, WannaCry 공격을 포함한 다양한 시끄러운 사이버 보안 사건과 연관되어 왔습니다. COVID-19 발병으로 인해 국가 후원 행위자의 침투 벡터와 목표 대상 목록이 확장되었습니다. 작년에 이 그룹은 여러 암호화폐 거래소와 백신을 개발하는 제약사에 대한 공격에 관여했습니다. 2021년은 Operation Dream Job 동안 항공우주 및 방산 계약자에 대한 악성 작전으로 특징지어졌습니다. 라자루스 APT와 연결된 악성 활동을 식별하고 가능한 사이버 공격에 적극적으로 대응하려면 전용 탐지 콘텐츠 를 Threat Detection Marketplace에서 확인하세요.
사용 중인 SIEM, EDR, NTDR 도구와 호환되는 최고의 SOC 콘텐츠를 찾고 있습니까? 무료 구독을 받아 Threat Detection Marketplace 에 액세스하고 다양한 형식으로 쉽게 변환할 수 있는 100K+의 탐지 및 응답 규칙을 이용하세요. 코딩을 즐기고 업계 최초의 SOC 콘텐츠 라이브러리에 기여하고 싶으신가요? 저희 Threat Bounty Program!
