Detecção da Operação Ferreiro: APT Lazarus Utiliza Exploit CVE-2021-44228 para Implantar Novas Cepas de Malware Baseadas em DLang
Índice:
Os adversários miram uma falha de segurança notória na biblioteca Java Log4j rastreada como CVE-2021-44228, também conhecida como Log4Shell, mesmo alguns anos após sua divulgação. Uma nova campanha chamada ‘Operação Blacksmith’ envolve a exploração da vulnerabilidade Log4Shell para implantar novas cepas maliciosas escritas em DLang, incluindo novos RATs. O APT norte-coreano Lazarus Group acredita-se estar por trás da recém-descoberta Operação Blacksmith.
Detectar Atividades da Operação Blacksmith Ligadas ao Lazarus APT
Grupos APT apoiados pela nação norte-coreana continuam a representar ameaças para organizações globais em vários setores da indústria. O nefasto Lazarus Group, que ganhou reconhecimento como um coletivo de hackers proficiente e bem financiado, causando estragos desde 2009, ressurge na mais recente campanha Operação Blacksmith. A plataforma SOC Prime equipa os defensores com algoritmos de detecção curados para identificar intrusões Lazarus na nova campanha de forma oportuna. Siga o link abaixo para obter regras Sigma mapeadas para o MITRE ATT&CK®, enriquecidas com inteligência personalizada e adaptadas para dezenas de plataformas de análise de segurança.
Regras Sigma para detectar a campanha Operação Blacksmith atribuída ao Lazarus APT
Além disso, engenheiros de segurança podem contar com detecções para defender contra ataques do Onyx Sleet, também conhecido como Andariel APT, um subgrupo patrocinado pelo estado norte-coreano operando sob a sombra de Lazarus:
Regras Sigma para detectar ataques ligados ao Andariel APT
Regras Sigma para detectar ataques ligados ao Onyx Sleet
Clique Explorar Detecções para acessar todo o conjunto de detecção para ataques ligados ao Lazarus e devidamente marcados. Mergulhe em metadados extensivos, incluindo links ATT&CK e CTI, para uma pesquisa de ameaças simplificada. Alternativamente, aprofunde-se em detecções curadas para defender proativamente contra Ataques Hidden Cobra or APT38 filtrados pelas tags personalizadas com base na atribuição do ator relacionado.
Análise da Operação Blacksmith: Insights sobre a Exploração do CVE-2021-44228 para Implantar Novo Malware Baseado em Telegram
O coletivo de hackers apoiado pela nação Lazarus (também conhecido como APT38, Dark Seoul, ou Hidden Cobra) da Coreia do Norte continua a armar o CVE-2021-44228 com 2 anos de idade, também conhecido como vulnerabilidade Log4Shell para disseminar três novas cepas de malware desenvolvidas na linguagem de programação DLang. Essas famílias de malware recém-identificadas incluem dois RATs previamente desconhecidos chamados NineRAT e DLRAT, acompanhados por um downloader malicioso denominado BottomLoader. A nova campanha descoberta pela Cisco Talos ganhou destaque sob o nome ‘Operação Blacksmith’, com os setores de manufatura, agricultura e segurança física sendo os principais alvos dos atacantes.
A cadeia de ataque começa com a exploração bem-sucedida do CVE-2021-44228 servindo como ponto de entrada para servidores-alvo. Após obter acesso inicial, o Lazarus realiza um reconhecimento preliminar, que então abre caminho para implantar um implante personalizado no sistema comprometido. Posteriormente, o Lazarus implanta o HazyLoad, uma ferramenta de proxy projetada para criar acesso direto ao sistema comprometido, eliminando a necessidade de exploração recorrente do CVE-2021-44228. Os hackers também estabelecem uma conta de usuário extra no sistema, dotando-a de privilégios administrativos. Após o dumping de credenciais bem-sucedido, o Lazarus prossegue para instalar o NineRAT nos sistemas impactados. O NineRAT está aproveitando a API Telegram para comunicação C2. O malware inclui um dropper projetado para criar persistência e iniciar os binários principais. O uso do Telegram é altamente provável para evadir a detecção aproveitando um serviço legítimo para comunicação C2.
O malware não baseado no Telegram conhecido como DLRAT permite que os hackers do Lazarus implantem cargas adicionais em sistemas comprometidos. Após a ativação inicial em um dispositivo, o DLRAT executa comandos pré-definidos para coletar dados básicos do sistema, que são posteriormente enviados ao servidor C2.
O terceiro malware empregado na Operação Blacksmith chamado BottomLoader é um downloader baseado em DLang destinado ao reconhecimento do sistema que recupera e executa cargas de uma URL predefinida através do PowerShell. O BottomLoader permite ao APT do Lazarus transferir arquivos do sistema impactado para o servidor C2, aumentando a flexibilidade operacional.
Pesquisadores da Talos observaram que, nos últimos 18 meses, o Lazarus aproveitou RATs desenvolvidos por tecnologias não convencionais, incluindo QtFramework, PowerBasic e, mais recentemente, escritos em DLang.
Notavelmente, a Talos também rastreia semelhanças entre a campanha Lazarus mais recente, com base nos TTPs do adversário observados, que são consistentes com o grupo patrocinado pelo estado norte-coreano Onyx Sleet (também rastreado como PLUTIONIUM), também rastreado como o grupo APT Andariel. Este último é comumente reconhecido como uma subunidade APT operando dentro da sombra do Lazarus.
A Operação Blacksmith marca uma mudança significativa nos TTPs do Lazarus Group, exibindo a evolução contínua do kit de ferramentas do adversário empregado pelos atores maliciosos. Faça login na plataforma SOC Prime para obter acesso a mais de 6.000 peças de conteúdo do repositório Threat Detection Marketplace para detectar proativamente ataques APT existentes e emergentes de qualquer escala.
