SIGNBTMalware
Il gruppo Lazarus, associato alla Corea del Nord, è stato identificato come l'autore di una recente campagna informatica. Nel corso di questa operazione, un venditore di software non identificato è rimasto vittima di un attacco facilitato dallo sfruttamento di note vulnerabilità di sicurezza in un noto software. La serie di attacchi ha infine portato all’introduzione di famiglie di software minacciose, tra cui SIGNBT.
Inoltre, gli aggressori hanno utilizzato uno strumento di hacking ampiamente riconosciuto e comunemente utilizzato da questo attore delle minacce per attività quali la profilazione di potenziali vittime e la distribuzione di payload. Questo strumento viene denominato LPEClient nel monitoraggio degli sforzi.
Sommario
Il gruppo di hacker APT (Advanced Persistent Threat) ha preso di mira ripetutamente la stessa vittima
L'utilizzo del malware SIGNBT in questo attacco ha dimostrato un processo di infezione multiforme e ha utilizzato tecniche avanzate. Il Gruppo Lazarus ha continuato a sfruttare le vulnerabilità del software dell'azienda presa di mira con l'obiettivo di compromettere altri sviluppatori di software. Nelle loro attività più recenti, diverse vittime sono state identificate a metà luglio 2023.
Queste vittime sono state sottoposte ad un attacco tramite software di sicurezza legittimo progettato per crittografare le comunicazioni web tramite certificati digitali. Il nome del software non è stato divulgato e il metodo preciso attraverso il quale è stato utilizzato come arma per distribuire SIGNBT rimane sconosciuto.
Oltre a impiegare una serie di strategie per stabilire e mantenere un punto d'appoggio sui sistemi compromessi, le sequenze di attacco hanno utilizzato un caricatore in-memory che fungeva da canale per il lancio del malware SIGNBT.
Il malware SIGNBT contatta un server C2 per ulteriori istruzioni
Lo scopo principale di SIGNBT è stabilire una comunicazione con un server remoto e recuperare ulteriori istruzioni per l'esecuzione sull'host infetto. Questo malware prende il nome dall'uso di stringhe distinte che hanno il prefisso "SIGNBT" nelle sue comunicazioni di comando e controllo (C2) basate su HTTP:
- SIGNBTLG, per la connessione iniziale
- SIGNBTKE, per la raccolta dei metadati di sistema alla ricezione di un messaggio SUCCESS dal server C2
- SIGNBTGC, per recuperare i comandi
- SIGNBTFI, per la gestione degli errori di comunicazione
- SIGNBTSR, per indicare una comunicazione riuscita
Nel frattempo, la backdoor di Windows è dotata di un'ampia gamma di funzionalità volte a ottenere il controllo sul sistema della vittima. Queste funzionalità includono l'enumerazione dei processi, l'esecuzione di operazioni su file e directory e la distribuzione di payload come LPEClient e altri strumenti per l'estrazione delle credenziali.
Il Gruppo Lazarus continua ad evolvere le sue tecniche e il suo arsenale di malware
Solo nel 2023, i ricercatori hanno identificato almeno tre distinte campagne Lazarus. Queste campagne hanno utilizzato vari metodi di intrusione e procedure di infezione. Tuttavia, hanno utilizzato costantemente il malware LPEClient per fornire la fase finale del software non sicuro.
Una di queste campagne ha svolto un ruolo fondamentale nell'introduzione di un impianto noto come Gopuram. Questo impianto è stato utilizzato in attacchi informatici diretti alle società di criptovaluta, utilizzando una versione manomessa del software di conferenza vocale e video 3CX.
Questi recenti risultati esemplificano le operazioni informatiche in corso legate alla Corea del Nord e sottolineano il continuo sviluppo ed espansione del suo arsenale di strumenti, strategie e tecniche da parte del Gruppo Lazarus. Il Gruppo Lazarus rimane un attore di minacce attivo e adattabile nel panorama contemporaneo della sicurezza informatica.
