Vyveva: Novo Malware Personalizado no Kit de Ferramentas Lazarus
Índice:
Especialistas da ESET descobriram uma nova amostra maliciosa utilizada por Lazarus APT para atacar uma empresa de transporte sul-africana não identificada. O malware, apelidado Vyveva, possui impressionantes capacidades de backdoor, que são usadas pelo ator apoiado pela nação para reconhecimento e ciberespionagem.
Visão Geral do Backdoor Vyveva
Vyveva é uma ameaça personalizada aplicada pelo grupo norte-coreano patrocinado pelo Estado em operações altamente direcionadas. Até o momento, especialistas em segurança conseguiram detectar apenas algumas instâncias vitimizadas, ambas relacionadas ao ataque cibernético contra a empresa de transporte no verão de 2020. No entanto, a análise mostra que o malware tem sido usado em campanhas do Lazarus desde o final de 2018. Além disso, compartilha muitos códigos com a família NukeSped, outra ameaça no arsenal do grupo, o que permite aos especialistas atribuir Vyveva aos adversários norte-coreanos.
ESET detalha que o backdoor Vyveva consiste em três elementos principais: instalador, carregador e carga maliciosa. O método de intrusão inicial ainda não foi explorado, mas os profissionais de segurança sugerem a existência de um dropper malicioso secreto. O instalador é responsável pela persistência do carregador e coloca a carga padrão no registro. Além disso, o componente carregador descriptografa a carga com um algoritmo de descriptografia XOR, para que esteja pronta para executar uma série de funções maliciosas.
De acordo com os pesquisadores, Vyveva é capaz de executar 23 comandos, incluindo exfiltração de arquivos, despejo de dados, execução arbitrária de código e timestomping. Embora a maioria das funções sejam típicas, algumas na lista são capazes de resolver tarefas sofisticadas. Por exemplo, a opção de timestomping permite copiar metadados de tempo de um arquivo legítimo. E o comando de upload de arquivos é capaz de exfiltrar diretórios e suportar filtragem de extensões de arquivos. Notavelmente, comandos podem ser lançados de forma assíncrona e executados em threads separados.
Detecção de Backdoor Vyveva
Para detectar a atividade maliciosa associada à nova ferramenta do Lazarus, você pode baixar uma regra Sigma da comunidade do nosso prolífico desenvolvedor do Threat Bounty Kyaw Pyiyt Htet:
https://tdm.socprime.com/tdm/info/HKO3ESP3ZBoF
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix,
EDR: Sentinel One
MITRE ATT&CK:
Táticas: Execução, Exfiltração, Evasão de Defesa
Técnicas: Execução através de API (T0871), Exfiltração por Canal de Comando e Controle (T1041), Mascaramento (T1036)
Além disso, você pode garantir sua defesa proativa contra intrusões do Lazarus verificando a lista completa de detecções personalizadas disponível no Threat Detection Marketplace.
Obtenha uma assinatura gratuita do Threat Detection Marketplace, uma plataforma líder mundial de Conteúdo como Serviço (CaaS) que ajuda equipes de SecOps a aprimorar suas análises de segurança e resistir a ataques cibernéticos nas fases mais iniciais de seu ciclo de vida. Está ansioso para monetizar suas habilidades de caça a ameaças e contribuir para a primeira biblioteca de conteúdo SOC da indústria? Junte-se ao nosso Programa Threat Bounty!
