Lazarus Group

APT / EstatalG0032
OrigenCoreia do Norte
Técnicas (MITRE ATT&CK)93
FuenteMITRE ATT&CK
También conocido como:Labyrinth ChollimaHIDDEN COBRAGuardians of PeaceZINCNICKEL ACADEMYDiamond Sleet

Análisis Vexday

Lazarus Group é um grupo de ameaça persistente avançada (APT) patrocinado pelo Estado norte-coreano e atribuído ao Reconnaissance General Bureau (RGB), ativo pelo menos desde 2009. O grupo, rastreado pela MITRE ATT&CK sob o identificador G0032 e também conhecido pelos aliases Labyrinth Chollima, HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY e Diamond Sleet, é apontado como responsável pelo ataque destrutivo de novembro de 2014 contra a Sony Pictures Entertainment, identificado pela Novetta como parte da Operação Blockbuster. Malwares associados ao grupo foram correlacionados a outras campanhas documentadas, incluindo Operation Flame, Operation 1Mission, Operation Troy, DarkSeoul e Ten Days of Rain. Ao todo, 93 técnicas MITRE ATT&CK foram documentadas em suas operações, além de uma CVE atribuída ao grupo.

Técnicas (MITRE ATT&CK) 93

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Reconocimiento
Email AddressesGather Victim Org Information
Preparación de recursos
DomainsWeb ServicesServerSocial Media AccountsEmail AccountsMalwareToolDigital Certificates
Acceso inicial
Drive-by CompromiseSpearphishing AttachmentSpearphishing LinkSpearphishing via Service
Ejecución
Windows Management InstrumentationScheduled TaskPowerShellWindows Command ShellVisual BasicNative APIExploitation for Client ExecutionMalicious File
Persistencia
Account ManipulationWindows ServiceRegistry Run Keys / Startup FolderShortcut Modification
Acceso a credenciales
Password SprayingName Resolution Poisoning and SMB Relay
Descubrimiento
Application Window DiscoveryQuery RegistrySystem Network Configuration DiscoverySystem Owner/User DiscoveryNetwork Service DiscoverySystem Network Connections DiscoveryProcess DiscoverySystem Information DiscoveryFile and Directory DiscoverySystem Time DiscoveryLocal Storage Discovery
Movimiento lateral
Remote Desktop ProtocolSMB/Windows Admin SharesSSH
Recolección
Data from Local SystemKeyloggingLocal Data StagingArchive Collected DataArchive via LibraryArchive via Custom Method
Comando y control
Protocol or Service ImpersonationFallback ChannelsWeb ProtocolsInternal ProxyExternal ProxyBidirectional CommunicationMulti-Stage ChannelsIngress Tool TransferStandard EncodingNon-Standard PortSymmetric Cryptography
Exfiltración
Exfiltration Over C2 ChannelExfiltration Over Unencrypted Non-C2 Protocol
Impacto
Data DestructionService StopInternal DefacementSystem Shutdown/RebootDisk Content WipeDisk Structure Wipe
defense-impairment
Code SigningDisable or Modify ToolsWindows Host Firewall
stealth
Dynamic API ResolutionEmbedded PayloadsEncrypted/Encoded FileRename Legitimate UtilitiesMasquerade Task or ServiceMatch Legitimate Resource Name or LocationDynamic-link Library InjectionIndicator RemovalClear Command HistoryFile DeletionTimestompValid AccountsCreate Process with TokenDeobfuscate/Decode Files or InformationIndirect Command ExecutionSystem Binary Proxy ExecutionMshtaRundll32BootkitHidden Files and DirectoriesDLLKernelCallbackTableReflective Code Loading

Vulnerabilidades explotadas 1

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2018-4878HIGHEPSS 90%KEV

El grupo Lazarus Group usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →