O grupo APT Lazarus é um dos poucos grupos de espionagem cibernética patrocinados por estados que também lidam com crimes cibernéticos com motivações financeiras e é o ator de ameaça mais lucrativo na cena das criptomoedas, que conseguiu roubar cerca de US$2 bilhões. Apenas em 2017, o grupo roubou mais de meio bilhão de dólares em criptomoedas, então seu interesse em negociantes e exchanges não está enfraquecendo, e eles lançaram recentemente outro ataque em uma organização de criptomoedas.
Desta vez, o APT Lazarus aproveitou um truque já comprovado e realizou uma campanha de spear-phishing com um anúncio de emprego falso no LinkedIn direcionado a um administrador de sistemas em uma organização de criptomoedas alvo. A vítima recebeu o documento malicioso com uma macro que cria um arquivo .LNK para chamar um link bit.ly via execução do mshta.exe. Em seguida, o script envia informações operacionais para um servidor C&C e recebe um script PowerShell que pode buscar cargas úteis usadas pelo APT Lazarus nesta campanha.
Emir Erdogan desenvolveu a regra exclusiva que permite a detecção de TTPs aproveitados pelo Grupo Lazarus durante este ataque: https://tdm.socprime.com/tdm/info/tjZGrUO4B5k0/fFr1KXQBPeJ4_8xcVrLz/?p=1
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Execução, Evasão de Defesa
Técnicas: Interface de Linha de Comando (T1059), Remoção de Indicadores no Host (T1070), Modificar Registro (T1112)
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou participe do Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
