SIGNBT Malware
Lazarus Group, koja se povezuje sa Sjevernom Korejom, identificirana je kao počinitelj nedavne cyber kampanje. U ovoj operaciji, neidentificirani dobavljač softvera postao je žrtva napada koji je omogućio iskorištavanje dobro poznatih sigurnosnih propusta u istaknutom softveru. Niz napada na kraju je doveo do uvođenja prijetećih softverskih obitelji, uključujući SIGNBT.
Nadalje, napadači su se poslužili općepriznatim alatom za hakiranje koji ovaj akter prijetnje obično koristi za aktivnosti poput profiliranja potencijalnih žrtava i isporuke tereta. Ovaj se alat u praćenju napora naziva LPEClient.
Sadržaj
Hakerska skupina APT (Advanced Persistent Threat) više puta je ciljala istu žrtvu
Korištenje zlonamjernog softvera SIGNBT u ovom napadu pokazalo je višestruki proces infekcije i korištenje naprednih tehnika. Lazarus Group ustrajala je u iskorištavanju ranjivosti u softveru ciljane tvrtke s ciljem kompromitiranja drugih programera softvera. U njihovim posljednjim aktivnostima identificirano je nekoliko žrtava od sredine srpnja 2023.
Te su žrtve bile podvrgnute napadu putem legitimnog sigurnosnog softvera dizajniranog za šifriranje web komunikacije putem digitalnih certifikata. Ime softvera nije otkriveno, a točna metoda kojom se koristio za distribuciju SIGNBT-a ostaje neotkrivena.
Uz korištenje niza strategija za uspostavljanje i održavanje uporišta na kompromitiranim sustavima, sekvence napada koristile su učitavač u memoriji koji je služio kao kanal za pokretanje zlonamjernog softvera SIGNBT.
SIGNBT Malware kontaktira C2 poslužitelj radi dodatnih uputa
Primarna svrha SIGNBT-a je uspostaviti komunikaciju s udaljenim poslužiteljem i dohvatiti daljnje upute za izvršenje na zaraženom hostu. Ovaj zlonamjerni softver dobio je svoje ime korištenjem različitih nizova koji imaju prefiks "SIGNBT" u svojoj komunikaciji naredbi i kontrole (C2) temeljenoj na HTTP-u:
- SIGNBTLG, za početnu vezu
- SIGNBTKE, za prikupljanje metapodataka sustava po primitku SUCCESS poruke od C2 poslužitelja
- SIGNBTGC, za dohvaćanje naredbi
- SIGNBTFI, za rukovanje komunikacijskim kvarovima
- SIGNBTSR, za označavanje uspješne komunikacije
U međuvremenu, Windows backdoor opremljen je širokim spektrom mogućnosti usmjerenih na stjecanje kontrole nad žrtvinim sustavom. Ove mogućnosti uključuju enumeraciju procesa, izvođenje operacija datoteka i direktorija i implementaciju korisnih sadržaja kao što su LPEClient i drugi alati za izdvajanje vjerodajnica.
Lazarus Group nastavlja razvijati svoje tehnike i arsenal zlonamjernog softvera
Samo u 2023. istraživači su identificirali najmanje tri različite Lazarove kampanje. Ove su kampanje koristile različite metode upada i postupke zaraze. Međutim, dosljedno su koristili zlonamjerni softver LPEClient za isporuku nesigurnog softvera u završnoj fazi.
Jedna od tih kampanja odigrala je ključnu ulogu u predstavljanju implantata poznatog kao Gopuram. Ovaj implantat korišten je u kibernetičkim napadima usmjerenim na tvrtke za kriptovalute, koristeći neovlaštenu verziju 3CX softvera za glasovne i video konferencije.
Ova nedavna otkrića primjer su tekućih kibernetičkih operacija povezanih sa Sjevernom Korejom i naglašavaju kontinuirani razvoj i širenje arsenala Lazarus grupe alata, strategija i tehnika. Lazarus Group ostaje aktivan i prilagodljiv akter prijetnji u suvremenom krajoliku kibernetičke sigurnosti.
