Lazarus APT IOCs - Part 5

security IOC

С двух лет назад (март 2021 года) штаммы вредоносного ПО группы Lazarus были обнаружены в различных корейских компаниях, связанных с национальной обороной, спутниками, программным обеспечением, медиа-прессой и т.д.. Таким образом, ASEC (AhnLab Security Emergency Response Center) преследует и анализирует деятельность угрожающей группы Lazarus и связанные с ней вредоносные программы.

Пострадавшая компания в данном случае была инфильтрирована группой Lazarus в мае 2022 года и была повторно инфильтрирована недавно через уязвимость 0-Day в том же программном обеспечении. Во время проникновения в мае 2022 года пострадавшая компания использовала уязвимую версию программы сертификации, которая обычно используется государственными учреждениями и университетами. После инцидента они обновили все свое программное обеспечение до последних версий. Однако в этот раз группа Lazarus использовала уязвимость 0-Day в программном обеспечении для осуществления своего проникновения.

Мы в ASEC подали отчет о данном программном обеспечении в KISA, но поскольку уязвимость еще не полностью проверена, а патч не выпущен, мы опустим производителя и программное обеспечение в этом сообщении.

Команда проанализировала и другие случаи, но если собрать вместе несколько инцидентов, которые еще не были раскрыты, можно сделать вывод, что группа Lazarus исследует уязвимости различных других программ и постоянно меняет свой TTP, изменяя способы отключения продуктов безопасности и применения антикриминалистических методов, чтобы помешать или задержать обнаружение и анализ с целью проникновения в корейские учреждения и компании.

Indicators of Compromise

IPv4

  • 111.92.189.48
  • 114.108.129.89
  • 115.68.52.47
  • 121.78.158.46
  • 121.78.246.155
  • 183.110.224.172

Domains

  • ctmnews.kr
  • dalbinews.co.kr
  • www.artinsight.co.kr
  • www.kfcjn.com
  • www.scope.co.kr
  • www.studyholic.com

MD5

  • 27db56964e7583e19643bf5c98fffd52
  • 61b3c9878b84706db5f871b4808e739a
  • 6ea4e4ab925a09e4c7a1e80bae5b9584
  • a6602ef2f6dc790ea103ff453eb21024
  • bd47942e9b6ad87eb5525040db620756
  • c7256a0fbab0f437c3ad4334aa5cde06
  • fc8b6c05963fd5285bce6ed51862f125
SEC-1275-1
Добавить комментарий