SIGNBT kenkėjiška programa
Su Šiaurės Korėja siejama „Lazarus Group“ buvo įvardyta kaip neseniai vykusios kibernetinės kampanijos vykdytoja. Šios operacijos metu nenustatytas programinės įrangos pardavėjas tapo atakos, kurią palengvino gerai žinomų žinomos programinės įrangos saugos spragų išnaudojimas, auka. Išpuolių serija galiausiai privedė prie grėsmingų programinės įrangos šeimų, įskaitant SIGNBT.
Be to, užpuolikai naudojo plačiai pripažintą įsilaužimo įrankį, kurį dažniausiai naudojo šis grėsmės veikėjas tokiai veiklai kaip potencialių aukų profiliavimas ir naudingų krovinių pristatymas. Sekant pastangas šis įrankis vadinamas LPEClient.
Turinys
APT (Advanced Persistent Threat) įsilaužėlių grupė pakartotinai taikėsi į tą pačią auką
SIGNBT kenkėjiškos programos panaudojimas šioje atakoje parodė daugialypį užkrėtimo procesą ir panaudojo pažangias technologijas. „Lazarus Group“ ir toliau naudojosi tikslinės įmonės programinės įrangos pažeidžiamumu, siekdama pakenkti kitiems programinės įrangos kūrėjams. Nuo 2023 m. liepos vidurio pastarojoje jų veikloje buvo nustatytos kelios aukos.
Šios aukos buvo užpultos naudojant teisėtą saugos programinę įrangą, skirtą šifruoti žiniatinklio ryšius naudojant skaitmeninius sertifikatus. Programinės įrangos pavadinimas nebuvo atskleistas, o tikslus metodas, kuriuo ji buvo panaudota platinti SIGNBT, lieka neatskleistas.
Be įvairių strategijų, skirtų įsitvirtinti ir išlaikyti pažeistas sistemas, atakų sekos naudojo atmintyje esantį įkroviklį, kuris tarnavo kaip kanalas paleidžiant SIGNBT kenkėjišką programą.
SIGNBT kenkėjiška programa susisiekia su C2 serveriu, kad gautų papildomų instrukcijų
Pagrindinis SIGNBT tikslas yra užmegzti ryšį su nuotoliniu serveriu ir gauti tolesnes instrukcijas vykdymui užkrėstame pagrindiniame kompiuteryje. Ši kenkėjiška programa gavo savo pavadinimą dėl atskirų eilučių, kurių priešdėlis yra „SIGNBT“ HTTP pagrindu veikiančioje komandų ir valdymo (C2) komunikacijoje:
- SIGNBTLG pradiniam ryšiui
- SIGNBTKE, sistemos metaduomenų rinkimui gavus SĖKMĖS pranešimą iš C2 serverio
- SIGNBTGC, skirtas komandoms gauti
- SIGNBTFI, skirtas ryšio gedimams tvarkyti
- SIGNBTSR, nurodantis sėkmingą bendravimą
Tuo tarpu „Windows“ užpakalinės durys yra aprūpintos daugybe galimybių, kuriomis siekiama valdyti aukos sistemą. Šios galimybės apima procesų surašymą, failų ir katalogų operacijų atlikimą ir naudingų krovinių, pvz., LPEClient, ir kitų kredencialų gavimo įrankių diegimą.
„Lazarus Group“ toliau tobulina savo metodus ir kenkėjiškų programų arsenalą
2023 m. mokslininkai nustatė mažiausiai tris skirtingas Lazarus kampanijas. Šiose kampanijose buvo naudojami įvairūs įsibrovimo metodai ir infekcijos procedūros. Tačiau jie nuolat naudojo LPEClient kenkėjišką programinę įrangą, kad pateiktų paskutinės pakopos nesaugią programinę įrangą.
Viena iš šių kampanijų atliko pagrindinį vaidmenį įvedant implantą, žinomą kaip Gopuram. Šis implantas buvo naudojamas kibernetinėse atakose, nukreiptose į kriptovaliutų įmones, naudojant sugadintą 3CX balso ir vaizdo konferencijų programinės įrangos versiją.
Šios naujausios išvados parodo su Šiaurės Korėja susijusias su Šiaurės Korėja susijusias kibernetines operacijas ir pabrėžia, kad „Lazarus Group“ nuolat plėtoja ir plečia savo įrankių, strategijų ir metodų arsenalą. „Lazarus Group“ išlieka aktyviu ir prisitaikančiu grėsmių veikėju šiuolaikinėje kibernetinio saugumo aplinkoje.
