הנחות רישוי רב
Threat Database Malware תוכנה זדונית SIGNBT

תוכנה זדונית SIGNBT

עד Mezo ב-Malware, Advanced Persistent Threat (APT)
לתרגם ל:
עברית

קבוצת לזרוס, המזוהה עם צפון קוריאה, זוהתה כמבצעת קמפיין סייבר לאחרונה. בפעולה זו, ספק תוכנה לא מזוהה נפל קורבן למתקפה שהקלה על ניצול פרצות אבטחה ידועות בתוכנה בולטת. סדרת ההתקפות הביאה בסופו של דבר להכנסת משפחות תוכנה מאיימות, כולל SIGNBT.

יתרה מזאת, התוקפים עשו שימוש בכלי פריצה מוכר נפוץ על ידי גורם איומים זה לפעילויות כגון יצירת פרופיל של קורבנות פוטנציאליים ואספקת מטענים. כלי זה מכונה LPEClient במאמצי מעקב.

קבוצת ההאקרים APT (Advanced Persistent Threat) מכוונת לאותו קורבן שוב ושוב

השימוש בתוכנה זדונית SIGNBT בהתקפה זו הדגים תהליך זיהום רב-גוני והשתמש בטכניקות מתקדמות. קבוצת לזרוס המשיכה לנצל נקודות תורפה בתוכנת החברה הממוקדת במטרה לסכן מפתחי תוכנה אחרים. בפעילויות האחרונות שלהם, זוהו כמה קורבנות החל מאמצע יולי 2023.

קורבנות אלו היו נתונים למתקפה באמצעות תוכנת אבטחה לגיטימית המיועדת להצפנת תקשורת אינטרנט באמצעות תעודות דיגיטליות. שמה של התוכנה לא נחשף, והשיטה המדויקת שבאמצעותה הופעלה בנשק להפצת SIGNBT נותרה לא ידועה.

בנוסף לשימוש במגוון אסטרטגיות לביסוס ולתחזק דריסת רגל על מערכות שנפגעו, רצפי ההתקפה השתמשו במטען בתוך הזיכרון ששימש כצינור להפעלת תוכנת הזדונית SIGNBT.

תוכנת זדונית SIGNBT יוצר קשר עם שרת C2 לקבלת הוראות נוספות

המטרה העיקרית של SIGNBT היא ליצור תקשורת עם שרת מרוחק ולאחזר הוראות נוספות לביצוע על המארח הנגוע. תוכנה זדונית זו מקבלת את שמה מהשימוש שלה במחרוזות נפרדות עם הקדמת "SIGNBT" בתקשורת הפקודה והבקרה מבוססת HTTP (C2) שלה:

  • SIGNBTLG, עבור החיבור הראשוני

  • SIGNBTKE, לאיסוף מטא נתונים של המערכת עם קבלת הודעת SUCCESS משרת C2

  • SIGNBTGC, עבור שליפת פקודות

  • SIGNBTFI, לטיפול בתקלות תקשורת

  • SIGNBTSR, לציון תקשורת מוצלחת

בינתיים, הדלת האחורית של Windows מצוידת במגוון רחב של יכולות שמטרתן להשיג שליטה על המערכת של הקורבן. יכולות אלו כוללות ספירת תהליכים, ביצוע פעולות קבצים וספריות ופריסה של מטענים כמו LPEClient וכלים אחרים לחילוץ אישורים.

קבוצת לזרוס ממשיכה לפתח את הטכניקות והתוכנות הזדוניות שלה בארסנל

רק בשנת 2023, חוקרים זיהו לפחות שלושה קמפיינים נפרדים של לזרוס. בקמפיינים אלה הופעלו שיטות חדירות והליכי הדבקה שונים. עם זאת, הם השתמשו בעקביות בתוכנה הזדונית LPEClient כדי לספק את התוכנה הלא בטוחה בשלב הסופי.

אחד מהקמפיינים הללו שיחק תפקיד מרכזי בהחדרת שתל המכונה Gopuram. שתל זה הועסק במתקפות סייבר שהופנו לחברות מטבעות קריפטוגרפיים, תוך שימוש בגרסה משובשת של תוכנת ועידת הקול והווידאו 3CX.

הממצאים האחרונים הללו מדגימים פעולות סייבר מתמשכות הקשורות לצפון קוריאה ומדגישים את הפיתוח המתמשך של קבוצת Lazarus והרחבת ארסנל הכלים, האסטרטגיות והטכניקות שלה. קבוצת לזרוס נותרה שחקנית איומים פעילה ומסתגלת בנוף אבטחת הסייבר העכשווי.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
20,027
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...