최근 라자루스 APT의 공격

라자루스 APT 그룹은 국가가 후원하는 사이버 스파이 유닛 중 금융 동기 사이버 범죄를 처리하는 몇 안 되는 그룹 중 하나입니다. 금전적 동기의 사이버 범죄 그리고 약 20억 달러를 탈취한 암호화폐 분야에서 가장 수익성이 높은 위협 행위자입니다. 2017년 한 해에만 이 그룹은 암호화폐로 5억 달러 이상을 탈취했으며, 이들의 트레이더와 거래소에 대한 관심은 약화되지 않았습니다. 최근에 또 다른 암호화폐 조직을 대상으로 공격을 감행했습니다. 

이번에는 라자루스 APT가 이미 검증된 트릭을 이용해 시스템 관리자를 목표로 하는 암호화폐 조직에 가짜 LinkedIn 구인 광고를 이용한 스피어 피싱 캠페인을 수행했습니다. 피해자는 매크로가 있는 악성 문서를 받게 되며, 이 매크로는 bit.ly 링크를 호출하는 .LNK 파일을 생성합니다. 그런 다음 이 스크립트는 C&C 서버로 운영 정보를 전송하고 Lazarus APT가 이 캠페인에서 사용하는 페이로드를 가져올 수 있는 PowerShell 스크립트를 수신합니다. 

에미르 에르도안 이번 공격에서 라자루스 그룹이 활용한 TTP를 감지할 수 있는 독점 규칙을 개발했습니다:  https://tdm.socprime.com/tdm/info/tjZGrUO4B5k0/fFr1KXQBPeJ4_8xcVrLz/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 방어 회피

기법: 명령줄 인터페이스 (T1059), 호스트의 지표 제거 (T1070), 레지스트리 수정 (T1112)

SOC Prime TDM을 시도할 준비가 되었습니까? 무료로 가입하세요. 또는 Threat Bounty 프로그램에 참여하세요 여러분의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.