Seguir 
Pesquisadores de segurança estão observando uma atividade maliciosa contínua lançada pelo infame Lazarus APT contra organizações japonesas. A maioria das infecções segue a mesma rotina e depende de amostras de malware VSingle e ValeforBeta.
Análise de VSingle e ValeforBeta
The mais recente consulta por Shusei Tomonaga mostra que o malware VSingle atua como um bot HTTP projetado para baixar e executarcepas maliciosas de segunda etapa na instância alvo. Uma vez instalado, o malware lança o Explorer, esconde sua atividade nefasta com a ajuda da injeção de DLL e comunica-se com o servidor de comando e controle (C&C) do invasor para receber novas instruções. A funcionalidade do VSingle é bastante simples e permite que o malware baixe e execute plugins, execute código arbitrário, envie informações adicionais e carregue arquivos para a máquina atacada.
ValeforBeta também é um bot HTTP que obtém uma funcionalidade ainda mais simples em comparação com o VSingle. ValeforBeta é capaz de executar código, enviar ou receber arquivos da rede remota e transmitir dados do sistema para o servidor dos atacantes.
Ambas as cepas maliciosas observadas servem para ganhar uma posição e carregar ferramentas de ataque adicionais na instância infectada. Notavelmente, durante o processo de infecção, os hackers Lazarus também aplicam softwares legítimos 3proxy, Stunnel e Plink para estabelecer comunicações com o servidor do atacante, realizar reconhecimento básico e controlar recursos visados.
Detectando Ataques do Lazarus
Para se defender contra atividades maliciosas associadas ao malware VSingle e ValeforBeta, nosso desenvolvedor ativo Threat Bounty, Emir Erdogan, lançou uma regra Sigma para a comunidade: https://tdm.socprime.com/tdm/info/VNJk0ZZEmheD/AA2UbngBFLC5HdFVMDc5
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Táticas: Execução, Movimentação Lateral, Comando e Controle,
Técnicas: Interface de Linha de Comando (T1059), Cópia de Arquivo Remoto (T1544)
Ator: Grupo Lazarus
O grupo APT Lazarus, patrocinado pelo Estado Norte-Coreano, é extremamente ativo em lançar várias campanhas maliciosas direcionadas ao ganho financeiro e intervenção política. Desde 2009, Lazarus tem sido ligado a vários incidentes ruidosos de cibersegurança, incluindo a violação da Sony Pictures, o assalto ao Banco Central de Bangladesh e o ataque WannaCry. O surto de COVID-19 expandiu os vetores de intrusão e a lista de alvos do ator apoiado pela nação. No ano passado, o grupo esteve envolvido em ataques a várias exchanges de criptomoedas e empresas farmacêuticas que desenvolvem vacinas. O ano de 2021 foi marcado por operações maliciosas contra contratantes aeroespaciais e de defesa durante a Operação Dream Job. Para identificar a atividade maliciosa ligada ao Lazarus APT e responder proativamente a ciberataques potenciais, verifique conteúdo de detecção disponível no Threat Detection Marketplace.
Procurando o melhor conteúdo SOC compatível com as ferramentas SIEM, EDR e NTDR que você usa? Obtenha uma assinatura gratuita do nosso Threat Detection Marketplace e acesse 100.000+ regras de detecção e resposta facilmente convertíveis para vários formatos. Gosta de programar e quer contribuir para a primeira biblioteca de conteúdo SOC da indústria? Junte-se ao nosso Programa Threat Bounty!
