SIGNBT Malware
Lazarus Group, som er tilknyttet Nordkorea, er blevet identificeret som gerningsmanden til en nylig cyberkampagne. I denne operation blev en uidentificeret softwareleverandør offer for et angreb lettet ved at udnytte velkendte sikkerhedssårbarheder i en fremtrædende software. Rækken af angreb førte i sidste ende til introduktionen af truende softwarefamilier, inklusive SIGNBT.
Ydermere benyttede angriberne sig af et bredt anerkendt hackingværktøj, der almindeligvis anvendes af denne trusselsaktør til aktiviteter såsom profilering af potentielle ofre og levering af nyttelast. Dette værktøj kaldes LPEClient i sporingsindsatsen.
Indholdsfortegnelse
APT-hackergruppen (Advanced Persistent Threat) målrettede det samme offer gentagne gange
Brugen af SIGNBT-malwaren i dette angreb demonstrerede en mangefacetteret infektionsproces og anvendte avancerede teknikker. Lazarus-gruppen fortsatte med at udnytte sårbarheder i den målrettede virksomheds software med det formål at kompromittere andre softwareudviklere. I deres seneste aktiviteter er adskillige ofre blevet identificeret i midten af juli 2023.
Disse ofre blev udsat for et angreb via legitim sikkerhedssoftware designet til at kryptere internetkommunikation gennem digitale certifikater. Softwarens navn blev ikke afsløret, og den præcise metode, hvorigennem den blev bevæbnet til at distribuere SIGNBT, forbliver uoplyst.
Ud over at anvende en række strategier til at etablere og vedligeholde fodfæste på kompromitterede systemer, brugte angrebssekvenserne en in-memory loader, der fungerede som en kanal til lancering af SIGNBT malware.
SIGNBT Malware kontakter en C2-server for yderligere instruktioner
Det primære formål med SIGNBT er at etablere kommunikation med en fjernserver og hente yderligere instruktioner til udførelse på den inficerede vært. Denne malware får sit navn fra dens brug af særskilte strenge, der er præfikset med "SIGNBT" i dens HTTP-baserede kommando-og-kontrol-kommunikation (C2):
- SIGNBTLG, for den første forbindelse
- SIGNBTKE, til indsamling af systemmetadata ved modtagelse af en SUCCESS-meddelelse fra C2-serveren
- SIGNBTGC, til at hente kommandoer
- SIGNBTFI, til håndtering af kommunikationsfejl
- SIGNBTSR, for at indikere vellykket kommunikation
I mellemtiden er Windows-bagdøren udstyret med en bred vifte af funktioner, der sigter mod at få kontrol over ofrets system. Disse funktioner omfatter optælling af processer, udførelse af fil- og mappehandlinger og implementering af nyttelaster som LPEClient og andre værktøjer til at udtrække legitimationsoplysninger.
Lazarus Group fortsætter med at udvikle sine teknikker og malware-arsenal
Bare i 2023 har forskere identificeret mindst tre forskellige Lazarus-kampagner. Disse kampagner anvendte forskellige indtrængningsmetoder og infektionsprocedurer. Men de brugte konsekvent LPEClient-malwaren til at levere den usikre software i sidste fase.
En af disse kampagner spillede en central rolle i introduktionen af et implantat kendt som Gopuram. Dette implantat blev brugt i cyberangreb rettet mod cryptocurrency-virksomheder ved at bruge en manipuleret version af 3CX stemme- og videokonferencesoftware.
Disse nylige resultater eksemplificerer igangværende nordkoreansk forbundne cyberoperationer og understreger Lazarus Groups kontinuerlige udvikling og udvidelse af dets arsenal af værktøjer, strategier og teknikker. Lazarus Group forbliver en aktiv og tilpasningsdygtig trusselsaktør i det moderne cybersikkerhedslandskab.
