Conteúdo de Detecção: Malware APT38

Nós recentemente publicamos uma regra para descobrir uma das ferramentas mais recentes do notório grupo APT38 mais conhecido como Lazarus ou Hidden Cobra. E é hora de continuar publicando conteúdo para descobrir este sofisticado grupo cibercriminoso. No artigo de hoje, daremos os links para conteúdo de detecção atualizado de um dos primeiros participantes no SOC Prime Threat Bounty Program – Lee Archinal. Lee publicou duas regras que detectam Bitsran and Bistromath malware usado pelo APT38 em ataques recentes.

Bistromath é um RAT completo que usa um implante para gerenciamento, controle e reconhecimento de sistema padrão. A infecção inicial é realizada através de um executável malicioso. As comunicações de rede são criptografadas via XOR. As amostras descobertas de Bistromath tentam evadir a análise através de sandboxes comuns via múltiplas verificações de artefatos (presença de dispositivos específicos, entradas de registro, processos, arquivos). O malware é capaz de manipulação de arquivos e processos, exfiltração de dados, uso de shell CMD, espionagem, keylogging, sequestro de navegador e mais.

Bitsran é um componente dropper e spreader para a edição radical do ransomware Hermes 2.1. Ele é projetado para executar e espalhar uma carga maliciosa na rede da vítima. Ao ser executado, o malware coloca uma cópia de si mesmo na localização TEMP. O malware então enumera todos os processos, procurando por processos de antivírus específicos e tenta matá-los usando a ferramenta de linha de comando taskkill. Depois disso, o Bitsran extrai e executa a carga final. Enquanto essa carga adicional está sendo executada, o malware inicial tenta se copiar para outros dispositivos na rede. Duas contas de usuário são hardcoded no malware e são usadas para estabelecer conexões com os compartilhamentos SMB C$ em dispositivos Windows.

Malware APT38 Bistromath (Comportamento Sysmon) por Lee Archinal: https://tdm.socprime.com/tdm/info/Ao1O2R1cWwVm/8SEPW3IBjwDfaYjK3Kya/

Malware APT38 Bitsran (Comportamento Sysmon) por Lee Archinal: https://tdm.socprime.com/tdm/info/BlNBeqFYdOnr/O4wNW3IB1-hfOQirkGBq/

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Persistência, Escalação de Privilégios

Técnicas: Chaves de Registro de Execução / Pasta de Inicialização (T1060), Tarefa Agendada (T1053)