SIGNBT pahavara
Põhja-Koreaga seostatav Lazarus Group on tunnistatud hiljutise küberkampaania toimepanijaks. Selle toimingu käigus langes tundmatu tarkvaramüüja rünnaku ohvriks, mida soodustas silmapaistva tarkvara tuntud turvaaukude ärakasutamine. Rünnakute seeria viis lõpuks ähvardavate tarkvaraperekondade, sealhulgas SIGNBT kasutuselevõtuni.
Lisaks kasutasid ründajad laialdaselt tunnustatud häkkimistööriista, mida see ohustaja tavaliselt kasutab selliste tegevuste jaoks nagu potentsiaalsete ohvrite profiilide koostamine ja kasulike koormate kohaletoimetamine. Seda tööriista nimetatakse jõupingutuste jälgimisel LPEClientiks.
Sisukord
APT (Advanced Persistent Threat) häkkerite rühmitus sihtis korduvalt sama ohvrit
SIGNBT pahavara kasutamine selles rünnakus näitas mitmetahulist nakatumisprotsessi ja kasutas täiustatud tehnikaid. Lazarus Group jätkas sihtettevõtte tarkvara haavatavuste ärakasutamist eesmärgiga seada ohtu teisi tarkvaraarendajaid. Nende viimaste tegevuste käigus on 2023. aasta juuli keskpaiga seisuga tuvastatud mitu ohvrit.
Neid ohvreid rünnati seadusliku turbetarkvara kaudu, mis oli mõeldud veebisuhtluse krüpteerimiseks digitaalsete sertifikaatide kaudu. Tarkvara nime ei avalikustatud ja täpne meetod, mille kaudu see SIGNBT levitamiseks relvastati, jääb avalikustamata.
Lisaks mitmete strateegiate kasutamisele ohustatud süsteemide tugipunkti loomiseks ja säilitamiseks kasutasid ründejärjestused mälusisest laadijat, mis toimis kanalina SIGNBT pahavara käivitamiseks.
SIGNBT pahavara võtab lisajuhiste saamiseks ühendust C2 serveriga
SIGNBT esmane eesmärk on luua side kaugserveriga ja hankida edasisi juhiseid nakatunud hostis täitmiseks. See pahavara teenib oma nime tänu erinevatele stringidele, mille eesliide on "SIGNBT" HTTP-põhises käsu- ja kontrollisuhtluses (C2):
- SIGNBTLG, esialgse ühenduse jaoks
- SIGNBTKE süsteemi metaandmete kogumiseks C2-serverist EDUsõnumi saamisel
- SIGNBTGC, käskude toomiseks
- SIGNBTFI sidetõrgete käsitlemiseks
- SIGNBTSR, tähistab edukat suhtlust
Samal ajal on Windowsi tagauks varustatud paljude võimalustega, mille eesmärk on saavutada kontroll ohvri süsteemi üle. Need võimalused hõlmavad protsesside loetlemist, faili- ja kataloogitoimingute sooritamist ning kasulike koormuste (nt LPEClient) ja muude mandaatide eraldamise tööriistade juurutamist.
Lazaruse grupp jätkab oma tehnikate ja pahavaraarsenali arendamist
Just aastal 2023 tuvastasid teadlased vähemalt kolm erinevat Lazaruse kampaaniat. Nendes kampaaniates kasutati erinevaid sissetungimismeetodeid ja nakatumisprotseduure. Siiski kasutasid nad järjekindlalt LPEClient pahavara, et pakkuda viimase etapi ebaturvalist tarkvara.
Üks neist kampaaniatest mängis Gopurami nime all tuntud implantaadi kasutuselevõtul keskset rolli. Seda implantaati kasutati krüptovaluutaettevõtetele suunatud küberrünnakutes, kasutades 3CX hääl- ja videokonverentsi tarkvara võltsitud versiooni.
Need hiljutised leiud on näide käimasolevatest Põhja-Koreaga seotud küberoperatsioonidest ja rõhutavad Lazaruse grupi pidevat arendamist ja tööriistade, strateegiate ja tehnikate arsenali laiendamist. Lazaruse grupp on tänapäeva küberjulgeolekumaastikul endiselt aktiivne ja kohanemisvõimeline ohutegija.
