SIGNBT ļaunprātīga programmatūra
Ar Ziemeļkoreju saistītais Lazarus Group ir identificēts kā nesenās kiberkampaņas vaininieks. Šajā operācijā neidentificēts programmatūras pārdevējs kļuva par upuri uzbrukumam, ko veicināja labi zināmas programmatūras drošības ievainojamību izmantošana. Uzbrukumu sērija galu galā noveda pie apdraudošu programmatūras ģimeņu, tostarp SIGNBT, ieviešanas.
Turklāt uzbrucēji izmantoja plaši atzītu uzlaušanas rīku, ko šis apdraudējuma dalībnieks parasti izmanto tādām darbībām kā potenciālo upuru profilēšana un kravas piegāde. Šis rīks tiek saukts par LPEClient, izsekojot centienus.
Satura rādītājs
APT (Advanced Persistent Threat) hakeru grupa atkārtoti mērķēja uz vienu un to pašu upuri
SIGNBT ļaunprogrammatūras izmantošana šajā uzbrukumā demonstrēja daudzpusīgu inficēšanās procesu un izmantoja progresīvas metodes. Lazarus grupa turpināja izmantot ievainojamības mērķa uzņēmuma programmatūrā, lai apdraudētu citus programmatūras izstrādātājus. Jaunākajās darbībās 2023. gada jūlija vidū ir identificēti vairāki upuri.
Šie upuri tika pakļauti uzbrukumam, izmantojot likumīgu drošības programmatūru, kas paredzēta tīmekļa saziņas šifrēšanai, izmantojot digitālos sertifikātus. Programmatūras nosaukums netika izpausts, un precīza metode, ar kuru tā tika izmantota, lai izplatītu SIGNBT, joprojām netiek atklāta.
Papildus tam, ka tika izmantotas dažādas stratēģijas, lai izveidotu un uzturētu stabilitāti apdraudētās sistēmās, uzbrukumu secībās tika izmantots atmiņā esošais ielādētājs, kas kalpoja kā kanāls SIGNBT ļaunprātīgas programmatūras palaišanai.
SIGNBT ļaunprātīga programmatūra sazinās ar C2 serveri, lai saņemtu papildu norādījumus
SIGNBT galvenais mērķis ir izveidot saziņu ar attālo serveri un izgūt turpmākus norādījumus izpildei inficētajā resursdatorā. Šī ļaunprātīgā programmatūra ir ieguvusi savu nosaukumu, izmantojot dažādas virknes, kurām ir pievienots prefikss "SIGNBT" uz HTTP balstītajā komandu un vadības (C2) sakaros.
- SIGNBTLG, sākotnējam savienojumam
- SIGNBTKE, sistēmas metadatu apkopošanai, saņemot SUCCESS ziņojumu no C2 servera
- SIGNBTGC, komandu ielādei
- SIGNBTFI, lai novērstu sakaru traucējumus
- SIGNBTSR, lai norādītu uz veiksmīgu saziņu
Tikmēr Windows aizmugures durvis ir aprīkotas ar plašu iespēju klāstu, kuru mērķis ir iegūt kontroli pār upura sistēmu. Šīs iespējas ietver procesu uzskaitīšanu, failu un direktoriju operāciju veikšanu un lietderīgās slodzes, piemēram, LPEClient, un citu rīku izvietošanu akreditācijas datu iegūšanai.
Lazarus grupa turpina attīstīt savas metodes un ļaunprātīgas programmatūras arsenālu
Tikai 2023. gadā pētnieki ir identificējuši vismaz trīs atšķirīgas Lācara kampaņas. Šajās kampaņās tika izmantotas dažādas ielaušanās metodes un infekcijas procedūras. Tomēr viņi pastāvīgi izmantoja LPEClient ļaunprogrammatūru, lai piegādātu pēdējā posma nedrošo programmatūru.
Vienai no šīm kampaņām bija galvenā loma, ieviešot implantu, kas pazīstams kā Gopuram. Šis implants tika izmantots kiberuzbrukumos, kas vērsti pret kriptovalūtas uzņēmumiem, izmantojot 3CX balss un video konferenču programmatūras modificētu versiju.
Šie nesenie atklājumi liecina par notiekošo ar Ziemeļkoreju saistīto kiberoperāciju piemēru un uzsver Lazarus grupas nepārtraukto rīku, stratēģiju un paņēmienu arsenāla attīstību un paplašināšanu. Lazarus grupa joprojām ir aktīvs un pielāgojams draudu dalībnieks mūsdienu kiberdrošības vidē.