拉撒路集团
“拉撒路集团”被认为是北韩政府的威胁集团。该组织至少从2009年就开始活跃,据报道,该组织对2014年11月针对索尼影视娱乐公司的破坏性雨刷攻击负责,这是诺维塔命名的Operation Blockbuster活动的一部分。
拉撒路集团使用的恶意软件与其他报告的活动有关,包括火焰行动、行动1任务、特洛伊行动、黑暗首尔和十天的雨。2017年底,Lazarus集团使用磁盘清除工具KillDisk对中美洲一家在线赌场进行了攻击。
朝鲜集团的定义有很大的重叠,“拉撒路集团”的名称涵盖了广泛的活动范围。一些组织使用“拉撒路集团”(Lazarus Group)来指代任何与朝鲜有关的活动。一些组织分别跟踪朝鲜的集群或团体,如Bluenoroff、APT37和APT38,而其他组织则跟踪与这些团体相关的一些活动,如Lazarus Group。
这一威胁的其他名称
Andariel, Appleworm, APT-C-26, APT38, Bluenoroff, 121局,COVELLITE,黑暗首尔,GOP, 77组,和平卫士,和平卫士,哈斯塔蒂集团,隐藏眼镜蛇,千里马迷宫,拉撒路,新浪漫网络部队,镍校,苹果耶稣行动,黑暗首尔行动,幽灵秘密行动,特洛伊行动,沉默千里马,Subgroup: Andariel, Subgroup: Bluenoroff, Unit 121, Whois Hacking Team, Whois Team, ZINC
这是一组规则,基于公开报告的与此恶意行为者相关的妥协指标的存在。
可疑的DNS请求- Lazarus组相关域观察
描述
此检测标识一个请求,该请求解析一个公开已知与此特定恶意参与者关联的域。请注意,恶意行为者经常会使用被泄露的合法网站来达到恶意目的。
建议
警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要,可以从已知的可靠源重新构建主机,并让用户更改密码。
可疑进程- Lazarus组相关二进制文件已执行
描述
此检测将识别文件的执行情况,该文件的哈希值公开已知与此特定恶意行为者相关联。请注意,恶意参与者经常会出于恶意目的使用常见的系统管理工具。
建议
检查有问题的警报。如果有必要,可以从已知的可靠源重新构建主机,并让用户更改密码。
可疑的Web请求- Lazarus组相关域名被观察到
描述
此检测将识别到一个公开已知与此特定恶意参与者关联的域的请求。请注意,恶意行为者经常会危及合法网站,以用于恶意目的。
建议
警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要,可以从已知的可靠源重新构建主机,并让用户更改密码。