Detecção de Atividades do Grupo BlueNoroff: Atores de Ameaças Aplicam Métodos Inovadores para Contornar a Proteção Mark-of-the-Web (MoTW) do Windows
Índice:
BlueNoroff, que é parte do maior Grupo Lazarus, é um coletivo de hackers motivado financeiramente que busca obter benefícios financeiros de suas capacidades ofensivas. O grupo, conhecido por roubar criptomoedas e comumente aplicar documentos Word e arquivos LNK para intrusão inicial, atualmente tem utilizado novos métodos adversários. Nos ataques mais recentes, BlueNoroff experimenta com novos tipos de arquivos para a entrega de malware, permitindo que os atores da ameaça evitem recursos de segurança do Windows Mark-of-the-Web (MoTW).
Detecte as Tentativas Maliciosas do BlueNoroff para Contornar a Proteção MoTW do Windows
Impulsionado por forte motivação financeira e uma série de ataques cibernéticos bem-sucedidos, o APT BlueNoroff está expandindo os horizontes de suas capacidades ofensivas através da experimentação com novos métodos adversários. A plataforma de Detecção como Código da SOC Prime está focada em ajudar defensores cibernéticos a se manter no controle do cenário de ameaças cibernéticas e defender proativamente contra ameaças emergentes. No início de 2023, a plataforma lançou um conjunto de regras Sigma selecionadas para detectar a atividade maliciosa do grupo BlueNoroff que aplicou técnicas mais avançadas para evadir detecção nos últimos ataques cibernéticos, incluindo tentativas de superar os recursos de segurança MoTW do Windows. Siga o link abaixo para acessar instantaneamente essas novas detecções marcadas com MITRE ATT&CK® e escritas por nossos desenvolvedores atentos do Threat Bounty, Aytek Aytemur and Nattatorn Chuensangarun:
Regras Sigma para detectar novos métodos aplicados nos últimos ataques pelo grupo BlueNoroff
The Regra Sigma por Aytek Aytemur detecta um processo suspeito do rundll32, que executa marcoor.dll, um arquivo malicioso associado à atividade adversária do grupo BlueNoroff. Esta detecção aborda a tática de Execução com o Comando e Intérprete de Scripts (T1059) e Execução pelo Usuário (T1204) como suas principais técnicas junto com a tática de Evasão de Defesa com a técnica correspondente de Execução de Proxy de Binário do Sistema (T1218).
Duas novas regras Sigma por Nattatorn Chuensangarun da lista mencionada acima também abordam a tática de Execução representada pela técnica de Comando e Intérprete de Scripts (T1059). Todos os algoritmos de detecção no conjunto de regras dedicado são compatíveis com as tecnologias líderes do setor SIEM, EDR e XDR.
Pesquisadores e profissionais de cibersegurança ansiosos para avançar suas habilidades de Engenharia de Detecção são bem-vindos a aproveitar o poder da defesa cibernética coletiva contribuindo com suas próprias regras Sigma marcadas com MITRE ATT&CK. Junte-se ao nosso Programa Threat Bounty para ver o poder do Sigma combinado com ATT&CK em ação, codifique seu futuro CV e ganhe recompensas financeiras recorrentes por sua contribuição.
Para manter-se atualizado sobre o cenário de ameaças em constante mudança e identificar a tempo as cepas maliciosas atribuídas à atividade do grupo BlueNoroff, clique no Explore Detecções botão abaixo. Isso o levará instantaneamente à lista abrangente de regras Sigma enriquecidas com metadados relevantes para acelerar a investigação de ameaças cibernéticas e aumentar suas capacidades de defesa cibernética.
Atividade Adversária do Grupo BlueNoroff: Análise de Padrões de Comportamento Observados nos Últimos Ataques
O APT norte-coreano BlueNoroff, que representa um subcluster do infame Grupo Lazarus, também conhecido como APT38, é reconhecido na arena de ameaças cibernéticas como um coletivo de hackers que visa principalmente organizações financeiras para roubar criptomoedas. A estratégia clássica do BlueNoroff implica o uso de um vetor de ataque de phishing visando comprometer entidades financeiras e interceptar transferências de criptomoedas da empresa.
Pesquisadores de cibersegurança recentemente observaram a adoção de novas cepas maliciosas no conjunto de ferramentas adversárias do grupo e o uso de novos tipos de arquivos para uma entrega de malware mais eficiente. BlueNoroff criou mais de 70 domínios falsos de organizações de capital de risco e bancos para atrair os funcionários da empresa a acionar uma cadeia de infecção e posteriormente permitir que os hackers obtenham seus benefícios financeiros. A maioria dos domínios fraudulentos se passa por aqueles que identificam entidades financeiras japonesas, o que indica o crescente interesse dos hackers em comprometer organizações japonesas no respectivo setor industrial.
Nos últimos ataques, BlueNoroff experimenta com estratégias adversárias mais sofisticadas para aumentar a eficiência na superação das capacidades de segurança do Windows e interromper as atividades de defesa cibernética. Observou-se que os atores da ameaça utilizaram vários scripts, como Visual Basic e Windows Batch, e aplicaram formatos de arquivo ISO e VHD para espalhar a infecção. O grupo aproveitou arquivos de imagem para contornar o sinalizador MoTW do Windows e escapar da detecção. Este último é um recurso de segurança do Windows que exibe uma mensagem de aviso quando um usuário tenta abrir um arquivo desconhecido ou suspeito baixado da web.
Organizações progressistas estão adotando a estratégia de cibersegurança proativa para estarem totalmente equipadas com capacidades de defesa cibernética e impedir com eficiência ataques de qualquer escala pelo notório Grupo Lazarus. Aproveite 445 regras Sigma para detectar ataques do APT Lazarus gratuitamente ou ganhe mais com 2.400+ detecções abordando TTPs relevantes sob demanda em https://my.socprime.com/pricing/.
