Lazarus APT Ressurge para Explorar Windows Update e GitHub
Índice:
Um mês depois de 2022, não há previsão de queda nos ataques; pelo contrário, o campo da cibersegurança está muito movimentado. O cenário é familiar: hackers à espreita e profissionais de segurança trabalhando arduamente para garantir que não haja descanso para os primeiros.
No final de janeiro, uma nova campanha de ataque, lançada por um APT ligado à Coreia do Norte, foi descoberta pela equipe de Inteligência de Ameaças da Malwarebytes. Desta vez, o ator patrocinado pelo estado utiliza o serviço de Atualização do Windows para distribuir malware e aproveita o GitHub como um servidor de comando e controle.
HIDDEN COBRA
O Lazarus Group é uma organização de hackers notória, patrocinada pelo governo norte-coreano. Este grupo está no radar desde pelo menos 2009 e é suspeito de estar por trás de várias campanhas de alto perfil, incluindo guerra cibernética, ciberespionagem e ataques de ransomware.
O programa cibernético da Coreia do Norte representa uma ameaça persistente de espionagem, roubo e ataque, fornecendo apoio substancial a várias redes cibernéticas maliciosas. Para evitar qualquer confusão no vasto campo de atividades cibernéticas criminosas patrocinadas pelo governo norte-coreano, é necessário indicar que o Lazarus Group é conhecido por muitos nomes, alguns dos quais, como Andariel, Kimsuky, APT37, APT38, estão relacionados a subgrupos, e um nome guarda-chuva, HIDDEN COBRA, é usado para se referir a atividades cibernéticas maliciosas realizadas pelo estado norte-coreano em geral.
Os métodos mais utilizados pelo grupo são disseminação de malware, zero-days, spear phishing, desinformação e backdoors.
A Cadeia de Ataque Mais Recente
Os casos mais recentes de ataque do Lazarus foram relatados em 18 de janeiro de 2022. No entanto, há dados que sugerem que a campanha estava em operação desde o final de 2021. Desta vez, o Lazarus Group visa explorar a Atualização do Windows e o GitHub para contornar detecções. Para infectar PCs com malware, o ataque começa com a implementação de macros maliciosas implantadas no documento do Word. Mais precisamente, dados atuais sugerem o uso de duas documentos macro-embedidos pelos atores da ameaça, atraindo usuários com novas oportunidades de emprego na corporação global Lockheed Martin:
Lockheed_Martin_JobOpportunities.docx
Salary_Lockheed_Martin_job_opportunities_confidential.doc
Quando a vítima abre um arquivo armado, o malware executa uma série de injeções para ganhar persistência de inicialização no dispositivo alvo: um macro embutido solta um arquivo WindowsUpdateConf.lnk na pasta de inicialização e um arquivo DLL (wuaueng.dll) na pasta Windows/System32.
A DDL maliciosa é então executada usando o Cliente de Atualização do Windows para evitar a detecção. Outra técnica destinada a permanecer sob o radar de segurança é a adoção do GitHub para comunicação C2.
Detectando o Último Ataque do Lazarus
Para identificar possíveis ataques e remediar a nova comprometimento por spear phishing do Lazarus, opte por baixar um pacote de regras Sigma gratuitas. O conteúdo foi liberado por nossos desenvolvedores atentos da Threat Bounty Nattatorn Chuensangarun and Onur Atali.
APT Lazarus Executa Macros Maliciosas por meio de criação de processos
Campanha da APT Lazarus da Coreia do Norte no GitHub via evento de arquivo
APT Lazarus explora Cliente de Atualização do Windows, GitHub via evento de arquivo
A lista completa de detecções relacionadas ao APT Lazarus no repositório do Threat Detection Marketplace da plataforma SOC Prime está disponível aqui.
Inscreva-se gratuitamente na plataforma Detection as Code da SOC Prime para detectar as últimas ameaças dentro do seu ambiente de segurança, melhorar a cobertura de fonte de log e MITRE ATT&CK, e impulsionar globalmente as capacidades de defesa cibernética da organização. Ansioso para criar suas próprias regras Sigma? Junte-se ao nosso programa Threat Bounty e seja recompensado por sua valiosa contribuição.
