Lazarus Group IOCs

security IOC

В 4 квартале 2022 года компания WithSecure обнаружила и отреагировала на кибератаку, проведенную субъектом угрозы, которую WithSecure™ с высокой степенью уверенности отнесла к группе вторжений под названием Lazarus Group. Атрибуция с высокой степенью уверенности была основана на совпадающих тактиках и процедурах, а также на операционной ошибке безопасности угрожающего субъекта. Помимо технических признаков, инцидент, наблюдаемый WithSecure™, также содержит характеристики недавних кампаний, приписываемых Lazarus Group другими исследователями.

No Pineapple

Кампания была направлена на государственные и частные исследовательские организации, медицинские исследования и энергетический сектор, а также на их цепочки поставок. Мотивация кампании оценивается как наиболее вероятная для получения разведывательной выгоды. В предыдущих отчетах о подобных кампаниях подчеркивается нацеленность на технологии с военным применением, и, по оценке WithSecure, этот тип нацеленности продолжался до 4 квартала 2022 года.

Служба анализа угроз WithSecure назвала этот отчет "No Pineapple" из-за сообщения об ошибке в бэкдоре, который добавляет < No Pineapple! > в данные о событиях, когда они превышают размер сегментированного байта.

Ключевые моменты инцидента

  • Первоначальная компрометация и повышение привилегий были осуществлены путем эксплуатации известных уязвимостей в непропатченных устройствах Zimbra.
  • Угрожающий агент использовал готовые веб-оболочки и пользовательские двоичные файлы, а также злоупотреблял легитимными инструментами Windows и Unix (Living Off the Land).
  • Угрожающий агент установил инструменты для проксирования, туннелирования и ретрансляции соединений
  • Поведение C2 предполагает наличие небольшого количества C2-серверов, подключающихся через множество ретрансляторов/конечных точек. Некоторые серверы C2, похоже, сами являются скомпрометированными жертвами.
  • Угрожающий агент эксфильтровал ~100 ГБ данных, но не предпринял никаких разрушительных действий к моменту нарушения работы системы.
  • Другие наблюдаемые вертикали возможных жертв и эксфильтрация данных угрожающим агентом предполагают, что мотивом является сбор разведданных.
  • Твердая уверенность в том, что субъектом угрозы является северокорейская государственная группа Lazarus Group, спонсирующая вторжения.

Indicators of Compromise

IPv4

  • 104.225.129.103
  • 104.225.129.86
  • 146.185.26.150
  • 15.207.207.64
  • 154.6.26.2
  • 175.45.176.27
  • 209.95.60.92
  • 23.237.32.34

Networks

  • 193.176.211.0/24

SHA1

  • 1f7564e93c5b4ec2de6f4f88c80c9691dc068206f
  • 407b934895741a1d3b197e4e3c3d2e3284ebc76a
  • 45b35d1176598be7755a6d56ad8009bb03f3c5b1
  • 47f12a1976552a1319bd58d813f213d7ebdef4fa
  • 61156df8e4a5eadac8137c1cbd55145eab654726
  • 7c40d4ded95f425fa01895f9d4359c9ef250290a
  • 88df19687e6aa8da376e37a8d71421b5b78a2cb4
  • 8b0fb0e478d18a358783429eaed53ca0fe892b37
  • 8c384b77b7100d6469e5e7b5cfa779dbcbcaa9ab
  • aa489231455dc2e56e2399edd7c10b5522608a7d
  • af9bc7ef25755982a00aca920ee7ad51f76c5cc2
  • b2b36600ce41129fa85a15a7177a61b7cb714000
  • cbf1529bf025523532666b0b3d2adbdae657db16
  • f7564e93c5b4ec2de6f4f88c80c9691dc068206f

Technical report

SEC-1275-1
Добавить комментарий