بدافزار SIGNBT
گروه لازاروس که با کره شمالی مرتبط است به عنوان عامل کمپین سایبری اخیر شناسایی شده است. در این عملیات، یک فروشنده نرم افزار ناشناس قربانی حمله ای شد که با سوء استفاده از آسیب پذیری های امنیتی شناخته شده در یک نرم افزار برجسته تسهیل شده بود. مجموعه ای از حملات در نهایت منجر به معرفی خانواده نرم افزارهای تهدید کننده از جمله SIGNBT شد.
علاوه بر این، مهاجمان از یک ابزار هک شناخته شده استفاده کردند که معمولاً توسط این عامل تهدید برای فعالیت هایی مانند نمایه سازی قربانیان احتمالی و تحویل محموله ها استفاده می شود. این ابزار در ردیابی تلاش ها به عنوان LPEClient نامیده می شود.
فهرست مطالب
گروه هکری APT (تهدید مداوم پیشرفته) بارها و بارها همان قربانی را هدف قرار داده است.
استفاده از بدافزار SIGNBT در این حمله یک فرآیند عفونت چندوجهی را نشان داد و از تکنیکهای پیشرفته استفاده کرد. گروه لازاروس در بهره برداری از آسیب پذیری های نرم افزار شرکت مورد نظر با هدف به خطر انداختن سایر توسعه دهندگان نرم افزار پافشاری کرد. در تازه ترین فعالیت های آنها، چندین قربانی تا اواسط ژوئیه 2023 شناسایی شده اند.
این قربانیان از طریق نرم افزار امنیتی قانونی طراحی شده برای رمزگذاری ارتباطات وب از طریق گواهی های دیجیتال مورد حمله قرار گرفتند. نام این نرم افزار فاش نشده است و روش دقیقی که از طریق آن برای توزیع SIGNBT مورد استفاده قرار گرفته است، فاش نشده است.
علاوه بر به کارگیری طیف وسیعی از استراتژیها برای ایجاد و حفظ جای پایی بر روی سیستمهای در معرض خطر، توالیهای حمله از یک بارکننده در حافظه استفاده میکردند که به عنوان مجرای راهاندازی بدافزار SIGNBT عمل میکرد.
بدافزار SIGNBT برای دستورالعمل های بیشتر با سرور C2 تماس می گیرد
هدف اصلی SIGNBT برقراری ارتباط با یک سرور راه دور و بازیابی دستورالعمل های بیشتر برای اجرا در میزبان آلوده است. این بدافزار نام خود را از استفاده از رشته های متمایز که با پیشوند "SIGNBT" در ارتباطات فرمان و کنترل (C2) مبتنی بر HTTP به دست آورده است:
- SIGNBTLG، برای اتصال اولیه
- SIGNBTKE، برای جمع آوری ابرداده های سیستم پس از دریافت پیام SUCCESS از سرور C2
- SIGNBTGC، برای واکشی دستورات
- SIGNBTFI، برای مدیریت خرابی های ارتباطی
- SIGNBTSR، برای نشان دادن ارتباط موفق
در همین حال، درب پشتی ویندوز مجهز به طیف گسترده ای از قابلیت ها با هدف به دست آوردن کنترل بر سیستم قربانی است. این قابلیت ها شامل شمارش فرآیندها، انجام عملیات فایل و دایرکتوری، و استقرار محموله هایی مانند LPEClient و سایر ابزارها برای استخراج اعتبار می باشد.
گروه لازاروس به تکامل تکنیکها و بدافزارهای آرسنال خود ادامه میدهد
فقط در سال 2023، محققان حداقل سه کمپین متمایز لازاروس را شناسایی کردند. این کمپین ها از روش های نفوذ و روش های مختلف عفونت استفاده می کردند. با این حال، آنها به طور مداوم از بدافزار LPEClient برای ارائه نرم افزار ناامن مرحله نهایی استفاده می کردند.
یکی از این کمپین ها نقش اساسی در معرفی ایمپلنتی به نام گوپورام داشت. این ایمپلنت در حملات سایبری به شرکتهای ارزهای دیجیتال با استفاده از نسخه دستکاری شده نرمافزار کنفرانس صوتی و ویدئویی 3CX استفاده شد.
این یافتههای اخیر نمونهای از عملیات سایبری مرتبط با کره شمالی است و بر توسعه مستمر و گسترش زرادخانه ابزارها، استراتژیها و تکنیکهای گروه لازاروس تاکید میکند. گروه لازاروس همچنان یک عامل تهدید فعال و سازگار در چشم انداز امنیت سایبری معاصر است.