SIGNBT Haittaohjelma
Pohjois-Koreaan liittyvä Lazarus Group on tunnistettu viimeaikaisen kyberkampanjan tekijäksi. Tässä operaatiossa tunnistamaton ohjelmistotoimittaja joutui hyökkäyksen uhriksi, joka johtui tunnettujen ohjelmistojen tietoturva-aukkojen hyödyntämisestä. Hyökkäysten sarja johti lopulta uhkaavien ohjelmistoperheiden käyttöön, mukaan lukien SIGNBT.
Lisäksi hyökkääjät käyttivät laajalti tunnettua hakkerointityökalua, jota tämä uhkatoimija yleisesti käyttää muun muassa mahdollisten uhrien profilointiin ja hyötykuormien toimittamiseen. Tätä työkalua kutsutaan LPEClientiksi seurantatoimissa.
Sisällysluettelo
APT (Advanced Persistent Threat) -hakkeriryhmä kohdistaa toistuvasti samaan uhriin
SIGNBT-haittaohjelman käyttö tässä hyökkäyksessä osoitti monitahoista tartuntaprosessia ja käytti kehittyneitä tekniikoita. Lazarus Group käytti jatkuvasti hyväkseen kohteena olevan yrityksen ohjelmistojen haavoittuvuuksia tarkoituksenaan vaarantaa muut ohjelmistokehittäjät. Heidän viimeisimmässä toiminnassaan on tunnistettu useita uhreja heinäkuun 2023 puoliväliin mennessä.
Nämä uhrit joutuivat hyökkäyksen kohteeksi laillisen tietoturvaohjelmiston kautta, joka on suunniteltu salaamaan verkkoviestintä digitaalisten sertifikaattien avulla. Ohjelmiston nimeä ei julkistettu, ja tarkka menetelmä, jolla se asetettiin aseeksi SIGNBT:n jakeluun, on edelleen paljastamatta.
Sen lisäksi, että hyökkäyssekvensseissä käytettiin useita strategioita jalansijan luomiseksi ja ylläpitämiseksi vaarantuneissa järjestelmissä, ne käyttivät muistissa olevaa latausohjelmaa, joka toimi kanavana SIGNBT-haittaohjelman käynnistämiselle.
SIGNBT-haittaohjelma ottaa yhteyttä C2-palvelimeen lisäohjeita varten
SIGNBT:n ensisijainen tarkoitus on muodostaa yhteys etäpalvelimeen ja hakea lisäohjeita suorittamista varten tartunnan saaneessa isännässä. Tämä haittaohjelma on saanut nimensä käyttämällä erillisiä merkkijonoja, joiden etuliitteenä on "SIGNBT" sen HTTP-pohjaisessa komento- ja ohjausviestinnässä (C2):
- SIGNBTLG, ensimmäistä yhteyttä varten
- SIGNBTKE, järjestelmän metatietojen keräämiseen SUCCESS-sanoman vastaanottamisen yhteydessä C2-palvelimelta
- SIGNBTGC, komentojen hakemiseen
- SIGNBTFI, viestintähäiriöiden käsittelyyn
- SIGNBTSR, ilmaisee onnistuneen viestinnän
Samaan aikaan Windowsin takaovessa on laaja valikoima ominaisuuksia, joiden tarkoituksena on saada uhrin järjestelmän hallintaan. Näihin ominaisuuksiin kuuluu prosessien luettelointi, tiedosto- ja hakemistotoimintojen suorittaminen sekä hyötykuormien, kuten LPEClient, ja muiden valtuustietojen poimimiseen tarkoitettujen työkalujen käyttöönotto.
Lazarus Group jatkaa tekniikoiden ja haittaohjelmaarsenaalin kehittämistä
Juuri vuonna 2023 tutkijat ovat tunnistaneet vähintään kolme erilaista Lazarus-kampanjaa. Näissä kampanjoissa käytettiin erilaisia tunkeutumismenetelmiä ja infektiomenetelmiä. He käyttivät kuitenkin johdonmukaisesti LPEClient-haittaohjelmaa toimittaakseen viimeisen vaiheen vaarallisen ohjelmiston.
Yhdellä näistä kampanjoista oli keskeinen rooli Gopuram-nimisen implantin käyttöönotossa. Tätä implanttia käytettiin kryptovaluuttayhtiöihin kohdistetuissa kyberhyökkäyksissä käyttämällä 3CX-ääni- ja videoneuvotteluohjelmiston peukaloitua versiota.
Nämä viimeaikaiset havainnot ovat esimerkki käynnissä olevista Pohjois-Koreaan liittyvistä kyberoperaatioista ja korostavat Lazarus-ryhmän jatkuvaa työkalujen, strategioiden ja tekniikoiden arsenaalin kehittämistä ja laajentamista. Lazarus Group on edelleen aktiivinen ja mukautuva uhkatoimija nykyajan kyberturvallisuusympäristössä.
