Detecção NukeSped: Alerta Sobre Malware NukeSped ao Atingir a Coreia do Sul

Ator de ameaça controlado pelo Estado Lazarus volta a atacar, desta vez explorando a notória vulnerabilidade Log4Shell em servidores VMware Horizon. Nesta campanha, os adversários aproveitam o Horizon, visando a República da Coreia com um backdoor NukeSped. Primeiros exploits documentados remontam a janeiro de 2022, com hackers do Lazarus sendo avistados explorando Log4Shell em produtos VMware Horizon desde meados da primavera de 2022. Quase meio ano depois, esses exploits ainda permanecem um problema crítico. date back to January 2022, with Lazarus hackers being spotted exploiting Log4Shell in VMware Horizons products since mid-Spring 2022. Almost half a year later, these exploits still remain a burning issue.

Detectar NukeSped

Aproveitar uma nova regra Sigma por um desenvolvedor diligente do Threat Bounty Sohan G, lançada no repositório do Marketplace de Detecção de Ameaças da plataforma da SOC Prime. A regra permite a detecção da possível atividade maliciosa associada ao malware NukeSped:

Possível Detecção do Grupo Lazarus Exploitando Vulnerabilidade Log4Shell (NukeSped) (via file_event)

A detecção está disponível para 20 plataformas SIEM, EDR & XDR, alinhada com a versão 10 do mais recente framework MITRE ATT&CK®, abordando a tática de Execução com Comando e Interpretador de Script (T1059) como técnica principal.

A principal plataforma de Detecção como Código do mundo agregou mais de 185K algoritmos de detecção e consultas de caça às ameaças para múltiplas plataformas de segurança. Clique no botão Ver Detecções para navegar por uma rica biblioteca de conteúdo de detecção. Ansioso para desenvolver suas próprias regras Sigma, aumentar sua velocidade de caça às ameaças e contribuir para as iniciativas globais de caça às ameaças? Participe do nosso Programa Threat Bounty!

Ver Detecções Participar do Threat Bounty

Análise de Malware NukeSped

Atores de ameaça patrocinados pela Coreia do Norte do Grupo Lazarus permanecem ativos em 2022, ampliando continuamente o escopo de seus ataques, principalmente visando países na região Ásia-Pacífico (APAC). Desta vez, os adversários exploram uma famosa vulnerabilidade Log4Shell vulnerabilidade que está afetando a biblioteca de registro Java do Apache Log4j, que desde dezembro de 2021 tem sido ativamente abusada por múltiplos atores de ameaça.

A equipe de análise da Ahnlab ASEC relatou que hackers do Lazarus usam o serviço Apache Tomcat do VMware Horizon para executar um script PowerShell explorando o Log4j. O comando PowerShell instala o backdoor no servidor comprometido, onde é usado para ciberespionagem, por exemplo, roubando dados sensíveis, capturando teclado, tirando capturas de tela e buscando cargas maliciosas para serem implantadas no sistema alvo, como malware de roubo de informações baseado em console.

A variante de malware usada nesta campanha é escrita em C++, usada pelo Lazarus desde pelo menos 2020. De acordo com os pesquisadores, nesta campanha, os adversários às vezes optaram pela implantação do Jin Miner, um bot minerador de criptomoeda, para atacar hosts Horizon.

Pronto para explorar a plataforma da SOC Prime e ver a Detecção como Código em ação? Inscreva-se gratuitamente. Ou participe do Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade.