Grupo Hacker Lazarus Muda Alvos e Aplica Técnicas Avançadas em Nova Campanha DeathNote
Índice:
O infame coletivo de hackers norte-coreano Grupo Lazarus, também rastreado como APT38, Dark Seoul, ou Hidden Cobra, ganhou sua reputação como atores de ameaça patrocinados por nações de alto perfil, principalmente tendo como alvo empresas de criptomoeda. Na recém-descoberta campanha maliciosa chamada DeathNote, os adversários estão mudando seu foco, concentrando-se principalmente em organizações de defesa, além dos setores automotivo e acadêmico.
Detectando a Campanha DeathNote pelo Esquadrão de Hackers Lazarus
Estando em destaque na arena de ameaças cibernéticas desde 2009, os hackers Lazarus estão constantemente desafiando os defensores cibernéticos com novas ameaças e capacidades ofensivas aprimoradas. Na mais recente campanha DeathNote, os experimentos do grupo com novos alvos e o uso de ferramentas e técnicas mais sofisticadas exigem ultra-responsividade das forças de defesa. Para ajudar as organizações a identificar oportunamente a atividade adversária em sua infraestrutura, a SOC Prime lançou recentemente uma nova regra Sigma escrita pelo nosso dedicado desenvolvedor de Threat Bounty, Emre Ay:
Essa regra Sigma detecta a mais recente atividade do Grupo APT Lazarus tentando acessar a política padrão do controlador de domínio para descobrir informações sobre o sistema comprometido. A detecção está alinhada com a última estrutura MITRE ATT&CK® v12 abordando a tática Descoberta e a técnica correspondente Descoberta de Política de Grupo (T1615). Para garantir a compatibilidade entre ferramentas, a regra pode ser instantaneamente traduzida para mais de 20 soluções SIEM, EDR, XDR e BDP.
Profissionais de cibersegurança em busca de maneiras de monetizar suas ideias de detecção e caça podem aproveitar o poder do nosso Programa Threat Bounty para compartilhar suas próprias regras Sigma com colegas da indústria e contribuir para a expertise coletiva enquanto convertem suas habilidades em benefícios financeiros.
Devido ao alto volume de ataques atribuídos ao coletivo de hackers Lazarus e seu kit de ferramentas inimigo em constante evolução, organizações progressistas estão se esforçando para fortalecer suas capacidades de defesa cibernética e detectar proativamente ameaças relacionadas. Ao clicar no Explorar Detecções botão abaixo, os defensores podem imediatamente acessar a lista completa de regras Sigma para a detecção de atividades do Grupo Lazarus. Todos os algoritmos de detecção são enriquecidos com CTI, links ATT&CK, binários executáveis e mais metadados relevantes para investigação de ameaças simplificada.
Análise dos Ataques do Grupo Hacker Lazarus: O Que Está Por Trás da Campanha DeathNote
O infame ator de ameaça norte-coreano está rapidamente evoluindo seu kit de ferramentas e estratégias relacionadas à duradoura campanha DeathNote. A mais recente investigação revela que o Lazarus está mudando de empresas relacionadas a criptomoedas para contratantes de defesa, instituições acadêmicas e empresas automotivas, expandindo significativamente a lista de potenciais vítimas.
O cluster DeathNote, também rastreado como NukeSped ou Operação Dream Job, envolve explorar falsas oportunidades de emprego para enganar as vítimas a seguirem links prejudiciais ou clicarem em arquivos infectados, resultando no lançamento de malware de espionagem. A campanha inicial foi lançada em 2019-2020, concentrando-se inicialmente em players do mercado de criptomoedas. Os picos de atividade da DeathNote foram registrados em agosto de 2020 e julho de 2021, mudando a área de interesse dos hackers para os setores governamental, de defesa e de engenharia. Com base nas observações mais recentes, os especialistas em segurança estimam que os países do Leste Europeu estão agora sob ataque, com todos os documentos de isca e descrições de trabalho relacionados a contratantes de defesa e entidades diplomáticas sendo renovados pelo Lazarus.
O vetor de criptomoeda das atividades do Lazarus normalmente segue a mesma rotina maliciosa. O grupo de hackers depende de iscas temáticas de mineração de Bitcoin para soltar documentos com macros e acionar o backdoor Manuscrypt nas instâncias comprometidas.
Os setores automotivo e acadêmico são alvo de uma estratégia ligeiramente diferente ligada a uma campanha mais ampla contra a indústria de defesa pelo Lazarus. Esses ataques frequentemente terminam com os implantes BLINGCAN e COPPERHEDGE sendo implantados nas máquinas das vítimas.
A cadeia de ataque alternativa ligada ao DeathNote depende de um aplicativo de leitor de PDF legitimado chamado SumatraPDF para prosseguir com atividades maliciosas adicionais. O abuso de software legítimo foi registrado em ataques contra organizações na Letônia e na Coreia do Sul, levando à entrega de backdoors e infostealers. É um método de ataque amplamente utilizado pelo ator patrocinado pelo estado, com um histórico comprovado em capacidades de cadeia de suprimento. Por exemplo, o Lazarus foi responsabilizado por um ataque contra o provedor de serviços VoIP empresarial 3CX revelado em março de 2023.
Os crescentes volumes de ataques cibernéticos pelo infame grupo APT Lazarus, patrocinado pelo estado, e sua crescente sofisticação exigem ultra-responsividade dos defensores cibernéticos. Confie na SOC Prime para estar totalmente equipado com conteúdo de detecção abordando ferramentas e ataques relacionados a APT. Tenha acesso a mais de 1000 regras para detectar comportamentos associados a atores estatais patrocinados. Obtenha mais de 200 regras Sigma gratuitamente em https://socprime.com/ ou acesse a lista completa de algoritmos de detecção relevantes ao escolher a assinatura On Demand adaptada às suas necessidades de segurança em https://my.socprime.com/pricing.
