Detecção de Malware AppleJeus: APT Lazarus Vinculado à Coreia do Norte Espalha Cepas Maliciosas Disfarçadas de Apps de Criptomoeda
Índice:
Um notório grupo APT apoiado pela Coreia do Norte, Lazarus, continuamente amplia sua superfície de ataque, aproveitando aplicativos fraudulentos de criptomoeda para distribuir o malware AppleJeus. Nesta última campanha adversária, hackers do Lazarus usam aplicativos de criptomoeda falsos chamados BloxHolder para implantar o malware AppleJeus, obter acesso inicial às redes e roubar ativos de criptomoeda.
Nos últimos quatro anos, o grupo Lazarus APT tem se interessado especificamente em atacar empresas de criptomoeda e blockchain para ganhos financeiros. Por exemplo, em abril de 2022, a campanha TradeTraitor do Lazarus ganhou destaque ao mirar empresas de negociação, troca e investimento, negócios de NFTs ou jogos de criptomoeda play-to-earn, bem como detentores individuais de carteiras de criptomoeda e NFTs.
Detectar Malware AppleJeus
O Grupo Lazarus é uma organização de hackers notória apoiada pelo estado norte-coreano. Este grupo APT está no radar desde pelo menos 2009 e é suspeito de estar por trás de várias campanhas de destaque, incluindo ciber-guerra, ciberespionagem e ataques de ransomware. Para se defender proativamente contra a última campanha do Lazarus que distribui a versão aprimorada do malware AppleJeus, opte por baixar um lote de regras Sigma dedicadas da plataforma Detection as Code da SOC Prime:
Regras Sigma para Detectar o Malware AppleJeus pelo grupo Lazarus APT
Todo o conteúdo de detecção acima está mapeado para o MITRE ATT&CK® framework e suporta traduções para mais de 25 formatos de alerta e consulta líderes da indústria, incluindo SIEM, EDR, BDP e XDR. Os algoritmos de detecção são fornecidos tanto pela Equipe SOC Prime quanto pelos nossos desenvolvedores experientes do Threat Bounty, garantindo uma variedade de regras para atender ao seu perfil de ameaça e conjunto de tecnologias em uso.
Junte-se ao nosso Programa Threat Bounty para defensores cibernéticos criarem suas próprias regras Sigma, publicá-las no maior mercado de detecção de ameaças do mundo e ganhar dinheiro por sua contribuição. Com o Threat Bounty da SOC Prime, você pode literalmente codificar seu CV, enquanto adquire conhecimento em Sigma & ATT&CK e aprimora habilidades de Hunting de Ameaças e Engenharia de Detecção.
Até o momento, a Plataforma SOC Prime agrega uma variedade de regras Sigma detectando ferramentas e técnicas de ataque associadas ao coletivo Lazarus APT. Clique no botão Explorar Detecções para verificar os algoritmos de detecção acompanhados pelas referências ATT&CK correspondentes, links de inteligência sobre ameaças e outros metadados relevantes.
Descrição do Malware AppleJeus: Análise de Ataque da Atividade Recente pelo Lazarus APT
O grupo APT Lazarus, patrocinado pelo estado norte-coreano, também conhecido como HIDDEN COBRA , está por trás de uma nova onda de ataques cibernéticos que miram usuários de redes e criptomoedas ao distribuir aplicativos de criptomoeda falsos sob o nome BloxHolder e espalhar o malware AppleJeus em sistemas comprometidos.
O coletivo de hacking tem distribuído o AppleJeus desde 2018 para roubar criptomoedas de usuários-alvo. Em fevereiro de 2021, CISA, FBI e o Departamento do Tesouro emitiram um parecer conjunto com os detalhes do malware AppleJeus junto com recomendações de mitigação. O grupo Lazarus APT, responsável pela entrega deste malware, mirou usuários individuais e organizações em setores industriais múltiplos, incluindo exchanges de criptomoedas e instituições financeiras, tentando roubar ativos de criptomoeda. De acordo com este parecer, o coletivo de hackers apoiado pela nação norte-coreana estava utilizando até sete variantes diferentes do AppleJeus desde 2018, constantemente atualizando e enriquecendo-as com capacidades aprimoradas.
Os pesquisadores de cibersegurança da Volexity foram os primeiros a observar uma nova atividade dos atores da ameaça Lazarus em junho de 2022, instalando o AppleJeus usando arquivos de documentos Microsoft Office armados como iscas para atrair a atenção dos usuários alvo de criptomoedas. Hackers registraram um novo nome de domínio, bloxholder[.]com, para uma plataforma de negociação de criptomoedas. A investigação mostrou que este era apenas um clone puro de outro site legítimo. Pesquisadores de cibersegurança encontraram este site falso BloxHolder, que deu nome à campanha maliciosa relacionada, após observar a versão maliciosa do AppleJeus no arquivo MSI tentando atrair usuários de criptomoeda a baixar o aplicativo de criptomoeda e iniciar a cadeia de infecção. Assim que o arquivo de isca instala o aplicativo legítimo, ele cria uma tarefa agendada e solta arquivos maliciosos na pasta do sistema, o que resulta na implantação da nova variante do malware AppleJeus.
Em outubro de 2022, o coletivo de hackers avançou suas campanhas maliciosas usando documentos do Microsoft Office em vez do instalador MSI para distribuir o AppleJeus. Nos últimos ataques cibernéticos, hackers do Lazarus também aprimoraram suas capacidades ofensivas aplicando uma técnica de carregamento de DLL encadeada para carregar malware, o que os permite evadir a detecção. Além disso, na campanha mais recente espalhando o malware AppleJeus, todas as strings e chamadas de API são ofuscadas usando um algoritmo de encriptação personalizado, o que representa outro desafio para os defensores cibernéticos identificarem a infecção a tempo.
O volume crescente de ataques cibernéticos pelo infame grupo APT Lazarus, apoiado pelo estado, e sua sofisticação crescente, exigem ultra-responsividade por parte dos defensores cibernéticos. Navegue por socprime.com para buscar regras Sigma contra ameaças atuais e emergentes, incluindo malware afetando usuários de criptomoeda, e alcance mais de 9.000 ideias para Engenharia de Detecção e Hunting de Ameaças, juntamente com um contexto abrangente de ameaças cibernéticas. Ou faça upgrade para On Demand como parte do nosso oferta Cyber Monday válida até 31 de dezembro, e obtenha até 200 regras Sigma premium de sua escolha além do conjunto de detecção disponível no pacote escolhido.
