Lazarus Group

OrigemCoreia do Norte

Técnicas (MITRE ATT&CK)93

FonteMITRE ATT&CK

Também conhecido como:Labyrinth ChollimaHIDDEN COBRAGuardians of PeaceZINCNICKEL ACADEMYDiamond Sleet

Análise Vexday

Lazarus Group é um grupo de ameaça persistente avançada (APT) patrocinado pelo Estado norte-coreano e atribuído ao Reconnaissance General Bureau (RGB), ativo pelo menos desde 2009. O grupo, rastreado pela MITRE ATT&CK sob o identificador G0032 e também conhecido pelos aliases Labyrinth Chollima, HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY e Diamond Sleet, é apontado como responsável pelo ataque destrutivo de novembro de 2014 contra a Sony Pictures Entertainment, identificado pela Novetta como parte da Operação Blockbuster. Malwares associados ao grupo foram correlacionados a outras campanhas documentadas, incluindo Operation Flame, Operation 1Mission, Operation Troy, DarkSeoul e Ten Days of Rain. Ao todo, 93 técnicas MITRE ATT&CK foram documentadas em suas operações, além de uma CVE atribuída ao grupo.

Técnicas (MITRE ATT&CK) 93

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento

Email Addresses Gather Victim Org Information

Preparação de recursos

Domains Web Services Server Social Media Accounts Email Accounts Malware Tool Digital Certificates

Acesso inicial

Drive-by Compromise Spearphishing Attachment Spearphishing Link Spearphishing via Service

Execução

Windows Management Instrumentation Scheduled Task PowerShell Windows Command Shell Visual Basic Native API Exploitation for Client Execution Malicious File

Persistência

Account Manipulation Windows Service Registry Run Keys / Startup Folder Shortcut Modification

Acesso a credenciais

Password Spraying Name Resolution Poisoning and SMB Relay

Descoberta

Application Window Discovery Query Registry System Network Configuration Discovery System Owner/User Discovery Network Service Discovery System Network Connections Discovery Process Discovery System Information Discovery File and Directory Discovery System Time Discovery Local Storage Discovery

Movimento lateral

Remote Desktop Protocol SMB/Windows Admin Shares SSH

Coleta

Data from Local System Keylogging Local Data Staging Archive Collected Data Archive via Library Archive via Custom Method

Comando e controle

Protocol or Service Impersonation Fallback Channels Web Protocols Internal Proxy External Proxy Bidirectional Communication Multi-Stage Channels Ingress Tool Transfer Standard Encoding Non-Standard Port Symmetric Cryptography

Exfiltração

Exfiltration Over C2 Channel Exfiltration Over Unencrypted Non-C2 Protocol

Impacto

Data Destruction Service Stop Internal Defacement System Shutdown/Reboot Disk Content Wipe Disk Structure Wipe

defense-impairment

Code Signing Disable or Modify Tools Windows Host Firewall

Vulnerabilidades exploradas 1

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2018-4878HIGHEPSS 90%KEV

O grupo Lazarus Group usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →