Conteúdo de Caça a Ameaças: Cavalo de Troia TAINTEDSCRIBE

Na semana passada, a CISA, o FBI e o DoD divulgaram relatórios de análise de malware sobre ferramentas recentemente descobertas do notório grupo Lazarus que realizam operações no interesse do governo norte-coreano. As variantes de malware, chamadas COPPERHEDGE, TAINTEDSCRIBE e PEBBLEDASH, podem ser usadas para reconhecimento e exclusão de informações confidenciais em sistemas-alvo. O malware TAINTEDSCRIBE é usado como um backdoor disfarçado como o Narrador da Microsoft. O grupo Lazarus o utiliza para baixar módulos maliciosos do servidor C&C, baixar e executar arquivos, habilitar o interpretador de linha de comando do Windows, criar e encerrar processos.

O grupo Lazarus (também conhecido como Hidden Cobra) é um dos agentes de ameaça mais perigosos que realiza ataques motivados financeiramente e campanhas de espionagem cibernética. Os atacantes conseguiram roubar cerca de US$ 2 bilhões, em vários casos, o grupo usou malware TrickBot (o Projeto Anchor) para inicialmente penetrar na organização de interesse. 

Nova regra de caça a ameaças por Ariel Millahuel descobre a atividade do grupo Lazarus de usar o Trojan TAINTEDSCRIBE para manter a persistência em redes de vítimas e exploração adicional da rede: https://tdm.socprime.com/tdm/info/1Lkj80bX8dHN/-eZsLHIBv8lhbg_ix9AB/?p=1

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Persistência, Escalada de Privilégios

Técnicas: Itens de Inicialização (T1165)

Você pode aprender mais sobre as táticas usadas pelo grupo Lazarus e encontrar mais conteúdo para detectá-las na seção MITRE ATT&CK no Threat Detection Marketplace: https://tdm.socprime.com/att-ck/