朝鲜国家赞助演员
在2021年1月25日,谷歌的威胁分析小组公布了一个朝鲜国家支持的行动者的信息,该行动者专门针对安全研究人员进行妥协。必威体育西汉姆联官网更多信息可在Rapid7的博客文章.
Rapid7的管理检测和响应团队在InsightIDR中部署了妥协指标(IOCs)和基于行为的检测,根据以下情况发出警报:
- 国际石油公司在谷歌报告,包括域、url和哈希
- 报告中描述的PowerShell、Visual Studio Project和RunDLL32活动
检测规则
下面是一组规则,这些规则是基于公开报告的与此恶意行为者相关的妥协指标。展开每个部分以获得关于检测的更多细节。
可疑的DNS请求-朝鲜演员针对安全研究-域观察必威体育西汉姆联官网
描述
此检测标识一个请求,该请求用于解析公开报告的与此恶意参与者相关的域。恶意行为者可能会利用被破解的网站来达到恶意目的。
建议
调查DNS请求的来源。在Rapid7的博文中可以找到更多的内容:https://blog.rapid7.com/2021/01/26/state-sponsored-threat-actors-target-security-必威体育西汉姆联官网researchers/
主教法冠ATT&CK技术
- 获得基础设施- T1583
- 域——T1583.001
- 妥协基础设施- T1584
- 域——T1584.001
可疑进程-朝鲜民主主义人民主义行动者目标安全研究-相关二进制执行必威体育西汉姆联官网
描述
此检测标识与此恶意行为者关联的公开报告散列的文件的执行。恶意参与者可能会为恶意目的使用常见的系统管理工具。
建议
研究该进程的父进程,以及该进程或父进程派生的任何其他进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
可疑进程- PowerShell确定操作系统
描述
该检测识别正在使用的PowerShell来确定Windows的版本和位。恶意的参与者和脚本将这样做,以确定将哪个负载部署到给定的系统。这一战术在2021年初被发现以安全研究人员为目标的朝鲜行动者中被发现使用。必威体育西汉姆联官网
建议
检查生成该命令的父进程,以及该进程或父进程可能生成的任何其他内容。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- 系统信息发现- T1082
可疑进程RunDLL32运行Visual Studio文件
描述
此检测标识用于从Visual Studio文件运行DLL的RunDLL32。这种战术已经被发现被恶意行为者使用,特别是在2021年初被发现以安全研究人员为目标的朝鲜行为者。必威体育西汉姆联官网
建议
检查由加载dll的rundll32进程生成的任何进程,以及该进程的父进程。如果该活动不是良性的或预期的,则考虑从已知的良好源重新构建主机,并让用户更改密码。
主教法冠ATT&CK技术
- Rundll32——T1218.011
可疑的网络请求-朝鲜黑客攻击安全研究-领域观察必威体育西汉姆联官网
描述
此检测将识别到一个公开报告与此恶意参与者相关的域的请求。恶意行为者可能会为了恶意目的而破坏网站。
建议
调查网页请求的来源。在谷歌的初始报告中可以找到更多的内容:https://blog.google/threat-analysis-group/new-campaign-targeting-security-必威体育西汉姆联官网researchers/
主教法冠ATT&CK技术
- 获得基础设施- T1583
- 域——T1583.001
- 虚拟专用服务器- T1583.003
- 服务器- T1583.004
- 妥协基础设施- T1584
- 域——T1584.001
- 虚拟专用服务器- T1584.003
- 服务器- T1584.004