साइनबीटी मैलवेयर
लाजर समूह, जो उत्तर कोरिया से जुड़ा है, की पहचान एक हालिया साइबर अभियान के अपराधी के रूप में की गई है। इस ऑपरेशन में, एक अज्ञात सॉफ्टवेयर विक्रेता एक प्रमुख सॉफ्टवेयर में प्रसिद्ध सुरक्षा कमजोरियों का फायदा उठाकर किए गए हमले का शिकार हो गया। हमलों की श्रृंखला अंततः SIGNBT सहित धमकी भरे सॉफ़्टवेयर परिवारों की शुरुआत का कारण बनी।
इसके अलावा, हमलावरों ने संभावित पीड़ितों की प्रोफाइलिंग और पेलोड वितरित करने जैसी गतिविधियों के लिए व्यापक रूप से मान्यता प्राप्त हैकिंग टूल का उपयोग किया, जिसका उपयोग आमतौर पर इस खतरे वाले अभिनेता द्वारा किया जाता है। ट्रैकिंग प्रयासों में इस टूल को LPEClient के रूप में जाना जाता है।
विषयसूची
APT (एडवांस्ड परसिस्टेंट थ्रेट) हैकर ग्रुप ने एक ही पीड़ित को बार-बार निशाना बनाया
इस हमले में SIGNBT मैलवेयर के उपयोग ने एक बहुआयामी संक्रमण प्रक्रिया का प्रदर्शन किया और उन्नत तकनीकों को नियोजित किया। लाजर समूह अन्य सॉफ्टवेयर डेवलपर्स से समझौता करने के उद्देश्य से लक्षित कंपनी के सॉफ्टवेयर के भीतर कमजोरियों का फायदा उठाने में लगा रहा। उनकी सबसे हालिया गतिविधियों में, जुलाई 2023 के मध्य तक कई पीड़ितों की पहचान की गई है।
इन पीड़ितों पर डिजिटल प्रमाणपत्रों के माध्यम से वेब संचार को एन्क्रिप्ट करने के लिए डिज़ाइन किए गए वैध सुरक्षा सॉफ़्टवेयर के माध्यम से हमला किया गया था। सॉफ़्टवेयर के नाम का खुलासा नहीं किया गया था, और वह सटीक तरीका जिसके माध्यम से इसे SIGNBT वितरित करने के लिए हथियार बनाया गया था, अज्ञात है।
समझौता किए गए सिस्टम पर पकड़ स्थापित करने और बनाए रखने के लिए कई रणनीतियों को नियोजित करने के अलावा, हमले के अनुक्रमों में एक इन-मेमोरी लोडर को नियोजित किया गया था जो SIGNBT मैलवेयर लॉन्च करने के लिए एक नाली के रूप में कार्य करता था।
अतिरिक्त निर्देशों के लिए SIGNBT मैलवेयर C2 सर्वर से संपर्क करता है
SIGNBT का प्राथमिक उद्देश्य एक दूरस्थ सर्वर के साथ संचार स्थापित करना और संक्रमित होस्ट पर निष्पादन के लिए आगे के निर्देश प्राप्त करना है। यह मैलवेयर अपना नाम अलग-अलग स्ट्रिंग्स के उपयोग से अर्जित करता है जो इसके HTTP-आधारित कमांड-एंड-कंट्रोल (C2) संचार में "SIGNBT" से पहले जुड़े होते हैं:
- प्रारंभिक कनेक्शन के लिए SIGNTLG
- C2 सर्वर से SUCCESS संदेश प्राप्त होने पर सिस्टम मेटाडेटा एकत्र करने के लिए SIGNBTKE
- कमांड लाने के लिए SIGNBTGC
- संचार विफलताओं से निपटने के लिए SIGNBTFI
- सफल संचार का संकेत देने के लिए SIGNBTSR
इस बीच, विंडोज़ बैकडोर पीड़ित के सिस्टम पर नियंत्रण पाने के उद्देश्य से क्षमताओं की एक विस्तृत श्रृंखला से सुसज्जित है। इन क्षमताओं में प्रक्रियाओं की गणना करना, फ़ाइल और निर्देशिका संचालन करना और क्रेडेंशियल निकालने के लिए LPEClient और अन्य टूल जैसे पेलोड को तैनात करना शामिल है।
लाजर समूह अपनी तकनीकों और मैलवेयर शस्त्रागार का विकास जारी रखता है
केवल 2023 में, शोधकर्ताओं ने कम से कम तीन अलग-अलग लाजर अभियानों की पहचान की है। इन अभियानों में विभिन्न घुसपैठ विधियों और संक्रमण प्रक्रियाओं को नियोजित किया गया। हालाँकि, उन्होंने अंतिम चरण के असुरक्षित सॉफ़्टवेयर को वितरित करने के लिए लगातार LPEClient मैलवेयर का उपयोग किया।
इनमें से एक अभियान ने गोपुरम नामक प्रत्यारोपण को पेश करने में महत्वपूर्ण भूमिका निभाई। इस इम्प्लांट को 3CX वॉयस और वीडियो कॉन्फ्रेंसिंग सॉफ़्टवेयर के छेड़छाड़ किए गए संस्करण का उपयोग करके क्रिप्टोकरेंसी कंपनियों पर निर्देशित साइबर हमलों में नियोजित किया गया था।
ये हालिया निष्कर्ष उत्तर कोरिया से जुड़े चल रहे साइबर ऑपरेशनों का उदाहरण देते हैं और लाजर समूह के उपकरणों, रणनीतियों और तकनीकों के अपने शस्त्रागार के निरंतर विकास और विस्तार को रेखांकित करते हैं। लाजर समूह समकालीन साइबर सुरक्षा परिदृश्य में एक सक्रिय और अनुकूलनीय खतरा अभिनेता बना हुआ है।
