Lazarus Group Resurfaces, Exploiting Log4j Vulnerability and Spreading MagicRAT

Grupo Lazarus, também conhecido como APT38, Dark Seoul, Hidden Cobra e Zinc, ganhou a reputação de ser um grupo patrocinado pelo estado altamente qualificado e bem financiado de hackers criminosos, causando estragos desde 2009.

Na campanha mais recente, o Lazarus implantou o novo malware MagicRAT após explorar vulnerabilidades em plataformas VMWare Horizon, como uma famosa falha do Log4j. O notório APT direcionou esta série de ataques a várias empresas de energia nos EUA, Japão e Canadá. flaw. The notorious APT aimed this series of attacks at a number of energy companies in the U.S., Japan, and Canada.

Detectar Atividade do Grupo Lazarus

Para identificar possíveis ataques e remediar o novo compromisso do spear phishing do Lazarus, opte por baixar um lote de regras livres de Sigma. O conteúdo foi lançado pelo nosso desenvolvedor atento de Threat Bounty Emir Erdogan:

Criação de Tarefa Agendada Altamente Suspeita de Atividade do Grupo APT Lazarus (detecção do MagicRAT via criação de processo)

Atividade Altamente Suspeita do Grupo APT Lazarus (detecção do MagicRAT via criação de arquivo)

Uso Altamente Possível do RAT pelo Grupo APT Lazarus (via criação de processo)

The Regras Sigma são facilmente conversíveis para 26 soluções de SIEM, EDR e XDR e estão alinhadas com o framework MITRE ATT&CK® v.10. v.10.

A lista completa de detecções relacionadas ao APT Lazarus está disponível no Cyber Threats Search Engine – a primeira ferramenta gratuita da indústria para informações detalhadas de ameaças cibernéticas e contexto relevante com desempenho de busca de sub-segundos. O motor de busca da SOC Prime, alimentado pela inovadora plataforma Detection as Code, ajuda profissionais de SOC a agilizar operações de detecção de ameaças, servindo como uma fonte instantânea de regras Sigma e informações contextuais relevantes, incluindo referências MITRE ATT&CK, visualização de tendências de ataques e insights de inteligência de ameaças. Pressione o botão Explorar Detecções para saber mais.

Explorar Detecções  

Análise da Última Campanha de Ataque do Lazarus

Cisco Talos lançou uma visão geral da nova campanha maliciosa lançada pelo Grupo Lazarus da Coreia do Norte. Os adversários introduziram um novo implante personalizado – um trojan de acesso remoto escrito em C++. A peça de malware, chamada MagicRAT, realiza reconhecimento do sistema, permite estabelecer permanência por meio da criação de tarefas agendadas, além de permitir que seus operadores executem códigos arbitrários e modifiquem arquivos. Além disso, o novo RAT busca cargas adicionais. De acordo com dados de pesquisa, os atores da ameaça usam amostras de MagicRAT juntamente com outros RATs personalizados, como o TigerRAT. Os exemplos estudados foram programados com o Qt Framework para complicar a análise humana.

Com base nos ataques observados e nos relatórios de notícias, podemos deduzir que este coletivo apoiado pela nação norte-coreana está expandindo seu alcance com uma maior dependência de diferentes ferramentas e técnicas, causando regularmente problemas para profissionais de SOC.

Todos os dias, publicamos detecções para as últimas ameaças, guiando os profissionais de segurança através do volátil cenário de ameaças. Com um plano de assinatura On Demand , você pode economizar tempo e melhorar o desempenho desbloqueando instantaneamente o conteúdo de sua escolha. Acompanhe as últimas tendências e fortaleça a resiliência cibernética de sua organização com soluções específicas do setor fornecidas pela SOC Prime.