Malware SIGNBT
Skupina Lazarus, která je spojena se Severní Koreou, byla identifikována jako pachatel nedávné kybernetické kampaně. V této operaci se neidentifikovaný dodavatel softwaru stal obětí útoku, který byl usnadněn zneužitím známých bezpečnostních slabin v prominentním softwaru. Série útoků nakonec vedla k zavedení ohrožujících softwarových rodin, včetně SIGNBT.
Kromě toho útočníci využili široce uznávaný hackerský nástroj běžně používaný tímto aktérem hrozby pro činnosti, jako je profilování potenciálních obětí a doručování užitečného zatížení. Tento nástroj se v úsilí o sledování označuje jako LPEClient.
Obsah
Skupina hackerů APT (Advanced Persistent Threat) se opakovaně zaměřovala na stejnou oběť
Využití malwaru SIGNBT v tomto útoku demonstrovalo mnohostranný proces infekce a využívalo pokročilé techniky. Skupina Lazarus pokračovala ve využívání zranitelných míst v softwaru cílové společnosti s cílem kompromitovat ostatní vývojáře softwaru. Při jejich nejnovějších aktivitách bylo od poloviny července 2023 identifikováno několik obětí.
Tyto oběti byly vystaveny útoku prostřednictvím legitimního bezpečnostního softwaru určeného pro šifrování webové komunikace prostřednictvím digitálních certifikátů. Jméno softwaru nebylo zveřejněno a přesná metoda, jejímž prostřednictvím byl použit k distribuci SIGNBT, zůstává nezveřejněna.
Kromě použití řady strategií k vytvoření a udržení oporu na kompromitovaných systémech, útočné sekvence využívaly in-memory loader, který sloužil jako kanál pro spuštění malwaru SIGNBT.
SIGNBT Malware kontaktuje server C2 pro další pokyny
Primárním účelem SIGNBT je navázat komunikaci se vzdáleným serverem a získat další instrukce pro provedení na infikovaném hostiteli. Tento malware získal své jméno díky použití odlišných řetězců, které mají předponu „SIGNBT“ ve své komunikaci příkazů a řízení (C2) založené na protokolu HTTP:
- SIGNBTLG, pro počáteční připojení
- SIGNBTKE, pro sběr systémových metadat po obdržení zprávy ÚSPĚCH ze serveru C2
- SIGNBTGC, pro načítání příkazů
- SIGNBTFI, pro řešení poruch komunikace
- SIGNBTSR pro indikaci úspěšné komunikace
Mezitím je zadní vrátka Windows vybavena širokou škálou funkcí zaměřených na získání kontroly nad systémem oběti. Tyto schopnosti zahrnují výčet procesů, provádění operací se soubory a adresáři a nasazování dat, jako je LPEClient a další nástroje pro extrakci přihlašovacích údajů.
Skupina Lazarus pokračuje ve vývoji svých technik a malwarového arzenálu
Jen v roce 2023 vědci identifikovali minimálně tři různé kampaně Lazarus. Tyto kampaně využívaly různé intruzní metody a infekční postupy. Důsledně však využívali malware LPEClient k dodání nebezpečného softwaru v konečné fázi.
Jedna z těchto kampaní sehrála klíčovou roli při zavádění implantátu známého jako Gopuram. Tento implantát byl použit při kyberútocích namířených proti kryptoměnovým společnostem za použití upravené verze softwaru pro hlasové a videokonference 3CX.
Tato nedávná zjištění jsou příkladem probíhajících kybernetických operací spojených se Severní Koreou a podtrhují neustálý vývoj a rozšiřování arzenálu nástrojů, strategií a technik skupiny Lazarus Group. Skupina Lazarus zůstává aktivním a přizpůsobivým aktérem v oblasti kybernetické bezpečnosti.
