تخفیف چند مجوز
Threat Database Malware بدافزار SIGNBT

بدافزار SIGNBT

تا Mezo در Malware, Advanced Persistent Threat (APT)
ترجمه به:
فارسی

گروه لازاروس که با کره شمالی مرتبط است به عنوان عامل کمپین سایبری اخیر شناسایی شده است. در این عملیات، یک فروشنده نرم افزار ناشناس قربانی حمله ای شد که با سوء استفاده از آسیب پذیری های امنیتی شناخته شده در یک نرم افزار برجسته تسهیل شده بود. مجموعه ای از حملات در نهایت منجر به معرفی خانواده نرم افزارهای تهدید کننده از جمله SIGNBT شد.

علاوه بر این، مهاجمان از یک ابزار هک شناخته شده استفاده کردند که معمولاً توسط این عامل تهدید برای فعالیت هایی مانند نمایه سازی قربانیان احتمالی و تحویل محموله ها استفاده می شود. این ابزار در ردیابی تلاش ها به عنوان LPEClient نامیده می شود.

گروه هکری APT (تهدید مداوم پیشرفته) بارها و بارها همان قربانی را هدف قرار داده است.

استفاده از بدافزار SIGNBT در این حمله یک فرآیند عفونت چندوجهی را نشان داد و از تکنیک‌های پیشرفته استفاده کرد. گروه لازاروس در بهره برداری از آسیب پذیری های نرم افزار شرکت مورد نظر با هدف به خطر انداختن سایر توسعه دهندگان نرم افزار پافشاری کرد. در تازه ترین فعالیت های آنها، چندین قربانی تا اواسط ژوئیه 2023 شناسایی شده اند.

این قربانیان از طریق نرم افزار امنیتی قانونی طراحی شده برای رمزگذاری ارتباطات وب از طریق گواهی های دیجیتال مورد حمله قرار گرفتند. نام این نرم افزار فاش نشده است و روش دقیقی که از طریق آن برای توزیع SIGNBT مورد استفاده قرار گرفته است، فاش نشده است.

علاوه بر به کارگیری طیف وسیعی از استراتژی‌ها برای ایجاد و حفظ جای پایی بر روی سیستم‌های در معرض خطر، توالی‌های حمله از یک بارکننده در حافظه استفاده می‌کردند که به عنوان مجرای راه‌اندازی بدافزار SIGNBT عمل می‌کرد.

بدافزار SIGNBT برای دستورالعمل های بیشتر با سرور C2 تماس می گیرد

هدف اصلی SIGNBT برقراری ارتباط با یک سرور راه دور و بازیابی دستورالعمل های بیشتر برای اجرا در میزبان آلوده است. این بدافزار نام خود را از استفاده از رشته های متمایز که با پیشوند "SIGNBT" در ارتباطات فرمان و کنترل (C2) مبتنی بر HTTP به دست آورده است:

  • SIGNBTLG، برای اتصال اولیه

  • SIGNBTKE، برای جمع آوری ابرداده های سیستم پس از دریافت پیام SUCCESS از سرور C2

  • SIGNBTGC، برای واکشی دستورات

  • SIGNBTFI، برای مدیریت خرابی های ارتباطی

  • SIGNBTSR، برای نشان دادن ارتباط موفق

در همین حال، درب پشتی ویندوز مجهز به طیف گسترده ای از قابلیت ها با هدف به دست آوردن کنترل بر سیستم قربانی است. این قابلیت ها شامل شمارش فرآیندها، انجام عملیات فایل و دایرکتوری، و استقرار محموله هایی مانند LPEClient و سایر ابزارها برای استخراج اعتبار می باشد.

گروه لازاروس به تکامل تکنیک‌ها و بدافزارهای آرسنال خود ادامه می‌دهد

فقط در سال 2023، محققان حداقل سه کمپین متمایز لازاروس را شناسایی کردند. این کمپین ها از روش های نفوذ و روش های مختلف عفونت استفاده می کردند. با این حال، آنها به طور مداوم از بدافزار LPEClient برای ارائه نرم افزار ناامن مرحله نهایی استفاده می کردند.

یکی از این کمپین ها نقش اساسی در معرفی ایمپلنتی به نام گوپورام داشت. این ایمپلنت در حملات سایبری به شرکت‌های ارزهای دیجیتال با استفاده از نسخه دستکاری شده نرم‌افزار کنفرانس صوتی و ویدئویی 3CX استفاده شد.

این یافته‌های اخیر نمونه‌ای از عملیات سایبری مرتبط با کره شمالی است و بر توسعه مستمر و گسترش زرادخانه ابزارها، استراتژی‌ها و تکنیک‌های گروه لازاروس تاکید می‌کند. گروه لازاروس همچنان یک عامل تهدید فعال و سازگار در چشم انداز امنیت سایبری معاصر است.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
20,027
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...