拉撒路集团
Lazarus集团是一项归因于朝鲜政府的威胁小组。本集团自2009年以来一直活跃,据报道,作为竞选操作重磅炸弹的一部分,据报道,对2014年11月的破坏性刮水攻击反对索尼图片娱乐,这是由Novetta命名的。
Lazarus集团使用的恶意软件与其他报告的活动相关,包括操作火焰,操作速度,操作特洛伊,Darkseoul和10天的雨水。2017年底,拉撒路集团使用磁盘擦拭工具Killdisk攻击,攻击基于中美洲的在线赌场。
朝鲜集团定义具有重要重叠,Lazarus集团的名称包括广泛的活动。有些组织使用Lazarus集团参考归因于朝鲜的任何活动。一些组织分别跟踪朝鲜集群或团体,如Bluenoroff,APT37和APT38,而其他组织则跟踪与作为Lazarus集团的群体相关的一些活动。
这一威胁的其他名称
Andariel,Appliel,Apt-C-26,APT38,Bluenoroff,局121,Covellite,Dark Seoul,Gop,Group 77,和平守护者,和平的监护人,Hastati集团,隐藏眼镜蛇,迷宫Chollima,Lazarus,Newromantic Cyber军队团队,镍学术研究,操作AppleJesus,操作Darkseoul,操作Ghostsecret,操作特洛伊,沉默的Chollima,亚组:Andariel,亚组:Bluenoroff,单位121,Whois黑客团队,Whois队,锌
这是一组规则,基于公开报告的与此恶意行为者相关的妥协指标的存在。
可疑的DNS请求- Lazarus组相关域观察
描述
此检测标识要解析公众已知与此特定恶意演员关联的域的请求。请注意,恶意演员通常会使用受损的合法网站进行恶意目的。
建议
警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要,可以从已知的可靠源重新构建主机,并让用户更改密码。
可疑过程 - Lazarus组相关二进制执行
描述
此检测将识别文件的执行情况,该文件的哈希值公开已知与此特定恶意行为者相关联。请注意,恶意参与者经常会出于恶意目的使用常见的系统管理工具。
建议
检查有问题的警报。如果有必要,可以从已知的可靠源重新构建主机,并让用户更改密码。
可疑Web请求 - 观察Lazarus组相关域
描述
此检测将识别到一个公开已知与此特定恶意参与者关联的域的请求。请注意,恶意行为者经常会危及合法网站,以用于恶意目的。
建议
警报可能与终端用户的正常网页浏览活动有关。检查有问题的警报。如果有必要,可以从已知的可靠源重新构建主机,并让用户更改密码。