Lazarus Mira o Setor Químico e a Indústria de TI da Coreia do Sul: Conteúdo de Detecção Baseado em Sigma
Índice:
Um grupo APT notório, Lazarus, patrocinado pelo governo da Coreia do Norte, expande sua superfície de ataque, visando entidades no setor químico junto com organizações de TI, principalmente na Coreia do Sul. Pesquisadores acreditam que a campanha mais recente faz parte dos planos da Operação Dream Job do Lazarus, detectada em agosto de 2020.
Detecção de Atividades do Lazarus
A SOC Prime lançou um conjunto de regras Sigma visando detectar atividade do Lazarus APT, criado por nossos experientes desenvolvedores do Threat Bounty Osman Demir and Nattatorn Chuensangarun, que estão sempre à procura de novas ameaças. Utilize o seguinte conteúdo de detecção para escanear seu sistema em busca de descobertas maliciosas relacionadas aos recentes ataques do Lazarus APT:
Persistência Suspeita do Lazarus APT pela Adição de Tarefas Agendadas (via segurança) – identifica a presença do grupo Lazarus APT relacionada à criação de tarefas agendadas no sistema da vítima
Possível Atividade do Grupo Lazarus pela Detecção de Arquivos Associados [Alvo: Indústria Química] (via file_event) – esta regra revela a atividade do Lazarus associada a arquivos maliciosos relevantes
Possível Execução do Grupo Lazarus para Tirar Capturas de Tela (SiteShoter) de Página da Web (via process_creation) – detecta atividade do Lazarus associada ao uso de arquivo .dat malicioso
Possível Execução do Grupo Lazarus por Injeção em Software de Gestão de Sistema INISAFE Web EX Client (via process_creation) – identifica os rastros deixados por hackers Lazarus ao injetar arquivos Dll no INISAFE Web EX Client
Execução Suspeita do Lazarus APT pela Criação de Serviço de Sistema (via process_creation) – esta regra detecta a atividade do grupo Lazarus APT relacionada à criação de serviço de sistema no sistema da vítima
Possível Persistência do Grupo Lazarus por Criação de Tarefas Agendadas Alvo: Setor Químico (via process_creation) – a detecção procura a atividade do grupo Lazarus marcada pelas tentativas dos adversários de assegurar sua persistência.
Acompanhe as atualizações do conteúdo de detecção relacionado ao Lazarus APT no repositório do Threat Detection Marketplace da plataforma SOC Prime aqui. Você é um caçador de ameaças trabalhando em detecções de malware baseadas em Sigma ou Yara? Junte-se ao nosso programa Threat Bounty para compartilhar suas regras através do repositório Threat Detection Marketplace e obtenha apoio da comunidade com muitos outros benefícios, incluindo a transformação disso em uma considerável fonte de renda.
Ver Detecções Junte-se ao Threat Bounty
Operação Dream Job
atividade do Lazarus apelidada Operação Dream Job envolve a exploração de oportunidades de emprego falsas para enganar as vítimas a seguir links prejudiciais ou clicar em arquivos infectados, resultando na implantação de malware de espionagem. Pesquisadores da Symantec rotularam este ramo de atividade do Lazarus Pompilus. O lançamento da campanha remonta ao verão de 2020.
Os picos na Operação Dream Job atividade foram notados em agosto de 2020 e julho de 2021, com as campanhas anteriores visando os setores governamental, de defesa e de engenharia. A campanha atual começou no início de 2022 e ainda está em andamento, compartilhando o mesmo conjunto de ferramentas e técnicas que suas campanhas “irmãs” anteriores.
Análise do Último Ataque de Cadeia de Extermínio do Grupo Lazarus
O APT vinculado à Coreia do Norte, patrocinado pelo estado, está em evidência desde pelo menos 2009, envolvido em ataques de alto perfil, incluindo campanhas de ciberespionagem. No início de 2022, o grupo Lazarus foi avistado em um ataque de spear-phishing aproveitando a Atualização do Windows e o servidor C&C do GitHub para espalhar malware. Logo após o ataque inicial, os hackers Lazarus foram relatados por tentarem subsequentemente abusar da Atualização do Windows e do GitHub para escapar das detecções ao armarem macros maliciosas.
Caçadores de ameaças da Symantec revelaram recentemente a campanha de ciberespionagem em andamento que visa a indústria química e o setor de TI da Coreia do Sul, que parece ser uma continuação da infame campanha de malware apelidada Operação Dream Job que começou em 2020. Ferramentas e IoCs similares detectados em ambas as campanhas servem como evidência viável para vinculá-las. Os primeiros sinais de uma nova onda de ciber-ataques vinculados à Operação Dream Job atividade remontam a janeiro de 2022, quando a Symantec alertou organizações, principalmente no setor químico, a permanecerem vigilantes contra potenciais ciber-ataques do Lazarus APT com o objetivo de roubar propriedade intelectual. Notavelmente, o aviso do Lazarus pela Symantec foi divulgado no mesmo dia em que o governo dos EUA anunciou uma recompensa de 5 milhões de dólares por dados relevantes que possam contribuir para interromper os esforços de desvio de sanções da Coreia do Norte.
O primeiro elemento da cadeia de extermínio é o recebimento e a implantação do arquivo HTM malicioso no sistema da vítima, com sua consequente incorporação ao software de gestão INISAFE Web EX Client. O arquivo DLL usado na cadeia de infecção é normalmente uma ferramenta trojanizada que baixa e lança uma carga extra de um servidor C&C com um parâmetro de URL específico chave/valores ‘prd_fld=racket.
Pesquisadores revelaram o movimento lateral na rede alvo usando Instrumentação de Gerenciamento do Windows (WMI) juntamente com despejo de credenciais e configuração de tarefas agendadas para rodar como um usuário específico. Além disso, os hackers Lazarus têm aproveitado ferramentas de registro de IP, o protocolo WakeOnLAN para ligar ou desligar o computador remotamente, o Protocolo de Transferência de Arquivo (FTP) executado sob o processo MagicLine, e mais ferramentas.
The Operação Dream Job campanhas estão em andamento há alguns anos, com as táticas do adversário ainda eficazes e representando uma séria ameaça para organizações em vários setores. Portanto, implementar uma abordagem proativa de cibersegurança e melhorar a postura de cibersegurança podem ajudar as organizações a resistirem aos sofisticados ataques APT em tal escala. Junte-se à plataforma Detecção como Código da SOC Prime para se manter um passo à frente dos atacantes e levar suas capacidades de defesa cibernética para o próximo nível.
