朝鲜国家赞助演员

在2021年1月25日,谷歌的威胁分析小组公布了一个朝鲜国家支持的行动者的信息,该行动者专门针对安全研究人员进行妥协。必威体育西汉姆联官网更多信息可在Rapid7的博客文章

Rapid7的管理检测和响应团队在InsightIDR中部署了妥协指标(IOCs)和基于行为的检测,根据以下情况发出警报:

  • 国际石油公司在谷歌报告,包括域、url和哈希
  • 报告中描述的PowerShell、Visual Studio Project和RunDLL32活动

检测规则

下面是一组规则,这些规则是基于公开报告的与此恶意行为者相关的妥协指标。展开每个部分以获得关于检测的更多细节。

可疑的DNS请求-朝鲜演员针对安全研究-域观察必威体育西汉姆联官网

描述

此检测标识一个请求,该请求用于解析公开报告的与此恶意参与者相关的域。恶意行为者可能会利用被破解的网站来达到恶意目的。

建议

调查DNS请求的来源。在Rapid7的博文中可以找到更多的内容:https://blog.rapid7.com/2021/01/26/state-sponsored-threat-actors-target-security-必威体育西汉姆联官网researchers/

主教法冠ATT&CK技术

  • 获得基础设施- T1583
  • 域——T1583.001
  • 妥协基础设施- T1584
  • 域——T1584.001
可疑进程-朝鲜民主主义人民主义行动者目标安全研究-相关二进制执行必威体育西汉姆联官网

描述

此检测标识与此恶意行为者关联的公开报告散列的文件的执行。恶意参与者可能会为恶意目的使用常见的系统管理工具。

建议

研究该进程的父进程,以及该进程或父进程派生的任何其他进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。

可疑进程- PowerShell确定操作系统

描述

该检测识别正在使用的PowerShell来确定Windows的版本和位。恶意的参与者和脚本将这样做,以确定将哪个负载部署到给定的系统。这一战术在2021年初被发现以安全研究人员为目标的朝鲜行动者中被发现使用。必威体育西汉姆联官网

建议

检查生成该命令的父进程,以及该进程或父进程可能生成的任何其他内容。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。

主教法冠ATT&CK技术

  • 系统信息发现- T1082
可疑进程RunDLL32运行Visual Studio文件

描述

此检测标识用于从Visual Studio文件运行DLL的RunDLL32。这种战术已经被发现被恶意行为者使用,特别是在2021年初被发现以安全研究人员为目标的朝鲜行为者。必威体育西汉姆联官网

建议

检查由加载dll的rundll32进程生成的任何进程,以及该进程的父进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。

主教法冠ATT&CK技术

  • Rundll32——T1218.011
可疑的网络请求-朝鲜黑客攻击安全研究-领域观察必威体育西汉姆联官网

描述

此检测将识别到一个公开报告与此恶意参与者相关的域的请求。恶意行为者可能会为了恶意目的而破坏网站。

建议

调查网页请求的来源。在谷歌的初始报告中可以找到更多的内容:https://blog.google/threat-analysis-group/new-campaign-targeting-security-必威体育西汉姆联官网researchers/

主教法冠ATT&CK技术

  • 获得基础设施- T1583
  • 域——T1583.001
  • 虚拟专用服务器- T1583.003
  • 服务器- T1583.004
  • 妥协基础设施- T1584
  • 域——T1584.001
  • 虚拟专用服务器- T1584.003
  • 服务器- T1584.004