SIGNBT Зловреден софтуер
Групата Lazarus, която е свързана със Северна Корея, е идентифицирана като извършител на скорошна кибер кампания. В тази операция неидентифициран доставчик на софтуер стана жертва на атака, улеснена чрез използване на добре познати уязвимости в сигурността на виден софтуер. Серията от атаки в крайна сметка доведе до въвеждането на заплашителни софтуерни семейства, включително SIGNBT.
Освен това нападателите са използвали широко признат хакерски инструмент, който обикновено се използва от този заплашителен актьор за дейности като профилиране на потенциални жертви и доставяне на полезни товари. Този инструмент се нарича LPEClient в усилията за проследяване.
Съдържание
Хакерската група APT (Advanced Persistent Threat) се насочва многократно към една и съща жертва
Използването на зловреден софтуер SIGNBT в тази атака демонстрира многостранен процес на заразяване и използва усъвършенствани техники. Групата Lazarus продължи да използва уязвимостите в софтуера на целевата компания с цел компрометиране на други разработчици на софтуер. В последните им дейности са идентифицирани няколко жертви към средата на юли 2023 г.
Тези жертви са били подложени на атака чрез законен софтуер за сигурност, предназначен за криптиране на уеб комуникации чрез цифрови сертификати. Името на софтуера не беше разкрито и точният метод, чрез който е бил въоръжен за разпространение на SIGNBT, остава неразкрит.
В допълнение към използването на набор от стратегии за установяване и поддържане на опора върху компрометирани системи, последователностите от атаки използват зареждащ модул в паметта, който служи като канал за стартиране на злонамерения софтуер SIGNBT.
SIGNBT Malware се свързва със сървър C2 за допълнителни инструкции
Основната цел на SIGNBT е да установи комуникация с отдалечен сървър и да извлече допълнителни инструкции за изпълнение на заразения хост. Този злонамерен софтуер печели името си от използването на отделни низове, които имат префикс „SIGNBT“ в своите HTTP-базирани командно-контролни (C2) комуникации:
- SIGNBTLG, за първоначалната връзка
- SIGNBTKE, за събиране на системни метаданни при получаване на съобщение SUCCESS от C2 сървъра
- SIGNBTGC, за извличане на команди
- SIGNBTFI, за обработка на комуникационни повреди
- SIGNBTSR, за указване на успешна комуникация
Междувременно, задната врата на Windows е оборудвана с широк набор от възможности, насочени към получаване на контрол над системата на жертвата. Тези възможности включват изброяване на процеси, извършване на операции с файлове и директории и внедряване на полезни товари като LPEClient и други инструменти за извличане на идентификационни данни.
Групата Lazarus продължава да развива своите техники и арсенал от зловреден софтуер
Само през 2023 г. изследователите са идентифицирали минимум три различни кампании на Лазар. Тези кампании използват различни методи за проникване и процедури за заразяване. Въпреки това, те последователно използват злонамерения софтуер LPEClient, за да доставят опасния софтуер на последния етап.
Една от тези кампании изигра ключова роля при въвеждането на имплант, известен като Gopuram. Този имплант е използван при кибератаки, насочени към компании за криптовалута, използвайки подправена версия на софтуера за гласови и видеоконференции 3CX.
Тези скорошни констатации са пример за продължаващи свързани със Северна Корея кибероперации и подчертават непрекъснатото развитие и разширяване на арсенала от инструменти, стратегии и техники на Lazarus Group. Lazarus Group остава активен и адаптивен участник в заплахите в съвременния пейзаж на киберсигурността.
