Κακόβουλο λογισμικό SIGNBT
Η ομάδα Lazarus, η οποία συνδέεται με τη Βόρεια Κορέα, έχει αναγνωριστεί ως ο δράστης μιας πρόσφατης εκστρατείας στον κυβερνοχώρο. Σε αυτήν την επιχείρηση, ένας άγνωστος προμηθευτής λογισμικού έπεσε θύμα επίθεσης που διευκολύνθηκε από την εκμετάλλευση γνωστών τρωτών σημείων ασφαλείας σε ένα εξέχον λογισμικό. Η σειρά των επιθέσεων οδήγησε τελικά στην εισαγωγή απειλητικών οικογενειών λογισμικού, συμπεριλαμβανομένου του SIGNBT.
Επιπλέον, οι εισβολείς έκαναν χρήση ενός ευρέως αναγνωρισμένου εργαλείου hacking που χρησιμοποιείται συνήθως από αυτόν τον παράγοντα απειλής για δραστηριότητες όπως η δημιουργία προφίλ πιθανών θυμάτων και η παράδοση ωφέλιμων φορτίων. Αυτό το εργαλείο αναφέρεται ως LPEClient στις προσπάθειες παρακολούθησης.
Πίνακας περιεχομένων
Η ομάδα χάκερ APT (Advanced Persistent Threat) στόχευσε το ίδιο θύμα επανειλημμένα
Η χρήση του κακόβουλου λογισμικού SIGNBT σε αυτήν την επίθεση έδειξε μια πολύπλευρη διαδικασία μόλυνσης και χρησιμοποίησε προηγμένες τεχνικές. Ο Όμιλος Lazarus επέμενε να εκμεταλλεύεται τρωτά σημεία στο λογισμικό της στοχευμένης εταιρείας με στόχο να θέσει σε κίνδυνο άλλους προγραμματιστές λογισμικού. Στις πιο πρόσφατες δραστηριότητές τους, αρκετά θύματα έχουν ταυτοποιηθεί από τα μέσα Ιουλίου 2023.
Αυτά τα θύματα υποβλήθηκαν σε επίθεση μέσω νόμιμου λογισμικού ασφαλείας που έχει σχεδιαστεί για την κρυπτογράφηση διαδικτυακών επικοινωνιών μέσω ψηφιακών πιστοποιητικών. Το όνομα του λογισμικού δεν αποκαλύφθηκε και η ακριβής μέθοδος μέσω της οποίας χρησιμοποιήθηκε για τη διανομή του SIGNBT παραμένει άγνωστη.
Εκτός από τη χρήση μιας σειράς στρατηγικών για τη δημιουργία και τη διατήρηση μιας βάσης σε παραβιασμένα συστήματα, οι ακολουθίες επίθεσης χρησιμοποίησαν έναν φορτωτή στη μνήμη που χρησίμευε ως αγωγός για την εκκίνηση του κακόβουλου λογισμικού SIGNBT.
Το SIGNBT Malware επικοινωνεί με έναν διακομιστή C2 για πρόσθετες οδηγίες
Ο πρωταρχικός σκοπός του SIGNBT είναι να δημιουργήσει επικοινωνία με έναν απομακρυσμένο διακομιστή και να ανακτήσει περαιτέρω οδηγίες για εκτέλεση στον μολυσμένο κεντρικό υπολογιστή. Αυτό το κακόβουλο λογισμικό κερδίζει το όνομά του από τη χρήση διακριτών συμβολοσειρών που έχουν το πρόθεμα "SIGNBT" στις επικοινωνίες εντολών και ελέγχου (C2) που βασίζονται σε HTTP:
- SIGNBTLG, για την αρχική σύνδεση
- SIGNBTKE, για συλλογή μεταδεδομένων συστήματος κατά τη λήψη μηνύματος SUCCESS από τον διακομιστή C2
- SIGNBTGC, για ανάκτηση εντολών
- SIGNBTFI, για χειρισμό αστοχιών επικοινωνίας
- SIGNBTSR, για ένδειξη επιτυχημένης επικοινωνίας
Εν τω μεταξύ, η κερκόπορτα των Windows είναι εξοπλισμένη με ένα ευρύ φάσμα δυνατοτήτων που στοχεύουν στην απόκτηση ελέγχου του συστήματος του θύματος. Αυτές οι δυνατότητες περιλαμβάνουν απαρίθμηση διαδικασιών, εκτέλεση λειτουργιών αρχείων και καταλόγου και ανάπτυξη ωφέλιμων φορτίων όπως το LPEClient και άλλα εργαλεία για την εξαγωγή διαπιστευτηρίων.
Ο Όμιλος Lazarus συνεχίζει να εξελίσσει τις τεχνικές του και το κακόβουλο λογισμικό Arsenal
Μόλις το 2023, οι ερευνητές εντόπισαν τουλάχιστον τρεις ξεχωριστές εκστρατείες Lazarus. Αυτές οι εκστρατείες χρησιμοποιούσαν διάφορες μεθόδους εισβολής και διαδικασίες μόλυνσης. Ωστόσο, χρησιμοποιούσαν με συνέπεια το κακόβουλο λογισμικό LPEClient για να παραδώσουν το μη ασφαλές λογισμικό τελικού σταδίου.
Μία από αυτές τις εκστρατείες έπαιξε καθοριστικό ρόλο στην εισαγωγή ενός εμφυτεύματος γνωστό ως Gopuram. Αυτό το εμφύτευμα χρησιμοποιήθηκε σε κυβερνοεπιθέσεις που κατευθύνονται σε εταιρείες κρυπτονομισμάτων, χρησιμοποιώντας μια παραποιημένη έκδοση του λογισμικού φωνητικής και βιντεοδιάσκεψης 3CX.
Αυτά τα πρόσφατα ευρήματα αποτελούν παράδειγμα των συνεχιζόμενων επιχειρήσεων στον κυβερνοχώρο που συνδέονται με τη Βόρεια Κορέα και υπογραμμίζουν τη συνεχή ανάπτυξη και επέκταση του οπλοστασίου εργαλείων, στρατηγικών και τεχνικών του Ομίλου Lazarus. Ο Όμιλος Lazarus παραμένει ένας ενεργός και προσαρμόσιμος παράγοντας απειλής στο σύγχρονο τοπίο της κυβερνοασφάλειας.
