Programari maliciós SIGNBT

El Grup Lazarus, associat a Corea del Nord, ha estat identificat com l'autor d'una campanya cibernètica recent. En aquesta operació, un proveïdor de programari no identificat va ser víctima d'un atac facilitat per l'explotació de vulnerabilitats de seguretat conegudes en un programari destacat. La sèrie d'atacs va portar finalment a la introducció de famílies de programari amenaçadores, inclosa SIGNBT.

A més, els atacants van fer ús d'una eina de pirateria àmpliament reconeguda que utilitza habitualment aquest actor d'amenaces per a activitats com ara perfilar víctimes potencials i lliurar càrregues útils. Aquesta eina es coneix com a LPEClient en els esforços de seguiment.

El grup de pirates informàtics APT (Advanced Persistent Threat) va apuntar a la mateixa víctima repetidament

La utilització del programari maliciós SIGNBT en aquest atac va demostrar un procés d'infecció polifacètic i va emprar tècniques avançades. El Grup Lazarus va persistir en l'explotació de les vulnerabilitats del programari de l'empresa objectiu amb l'objectiu de comprometre altres desenvolupadors de programari. En les seves activitats més recents, s'han identificat diverses víctimes a mitjans de juliol de 2023.

Aquestes víctimes van ser objecte d'un atac mitjançant un programari de seguretat legítim dissenyat per xifrar les comunicacions web mitjançant certificats digitals. El nom del programari no es va revelar i el mètode precís mitjançant el qual es va armar per distribuir SIGNBT encara no es va revelar.

A més d'utilitzar una sèrie d'estratègies per establir i mantenir un punt de peu en sistemes compromesos, les seqüències d'atac empraven un carregador en memòria que servia de conducte per llançar el programari maliciós SIGNBT.

El programari maliciós SIGNBT contacta amb un servidor C2 per obtenir instruccions addicionals

L'objectiu principal de SIGNBT és establir comunicació amb un servidor remot i recuperar instruccions addicionals per a l'execució a l'amfitrió infectat. Aquest programari maliciós rep el seu nom per l'ús de cadenes diferents que tenen el prefix "SIGNBT" a les seves comunicacions d'ordre i control (C2) basades en HTTP:

• SIGNBTLG, per a la connexió inicial
• SIGNBTKE, per recollir metadades del sistema en rebre un missatge d'ÈXIT del servidor C2
• SIGNBTGC, per obtenir ordres
• SIGNBTFI, per a la gestió de fallades de comunicació
• SIGNBTSR, per indicar una comunicació reeixida

Mentrestant, la porta del darrere de Windows està equipada amb una àmplia gamma de capacitats destinades a aconseguir el control del sistema de la víctima. Aquestes capacitats inclouen enumerar processos, realitzar operacions de fitxers i directoris i desplegar càrregues útils com LPEClient i altres eines per extreure credencials.

El grup Lazarus continua evolucionant les seves tècniques i l'arsenal de programari maliciós

Només el 2023, els investigadors han identificat un mínim de tres campanyes diferents de Làzaro. Aquestes campanyes van emprar diversos mètodes d'intrusió i procediments d'infecció. Tanmateix, van utilitzar constantment el programari maliciós LPEClient per oferir el programari insegur de l'etapa final.

Una d'aquestes campanyes va tenir un paper fonamental en la introducció d'un implant conegut com Gopuram. Aquest implant es va utilitzar en ciberatacs dirigits a empreses de criptomoneda, utilitzant una versió manipulada del programari de veu i videoconferència 3CX.

Aquestes troballes recents exemplifiquen les operacions cibernètiques en curs vinculades a Corea del Nord i subratllen el desenvolupament continu i l'expansió del seu arsenal d'eines, estratègies i tècniques del Grup Lazarus. El Grup Lazarus continua sent un actor d'amenaces actiu i adaptable en el panorama de la ciberseguretat contemporani.