SIGNBT Perisian Hasad
Kumpulan Lazarus, yang dikaitkan dengan Korea Utara, telah dikenal pasti sebagai pelaku kempen siber baru-baru ini. Dalam operasi ini, vendor perisian yang tidak dikenali menjadi mangsa serangan yang dipermudahkan dengan mengeksploitasi kelemahan keselamatan yang terkenal dalam perisian yang terkenal. Siri serangan akhirnya membawa kepada pengenalan keluarga perisian yang mengancam, termasuk SIGNBT.
Tambahan pula, penyerang menggunakan alat penggodaman yang diiktiraf secara meluas yang biasa digunakan oleh aktor ancaman ini untuk aktiviti seperti memprofilkan bakal mangsa dan menghantar muatan. Alat ini dirujuk sebagai LPEClient dalam usaha mengesan.
Isi kandungan
Kumpulan Penggodam APT (Advanced Persistent Threat) Menyasarkan Mangsa Yang Sama Berulang kali
Penggunaan perisian hasad SIGNBT dalam serangan ini menunjukkan proses jangkitan pelbagai rupa dan menggunakan teknik lanjutan. Kumpulan Lazarus berterusan dalam mengeksploitasi kelemahan dalam perisian syarikat yang disasarkan dengan tujuan untuk menjejaskan pembangun perisian lain. Dalam aktiviti terbaru mereka, beberapa mangsa telah dikenal pasti setakat pertengahan Julai 2023.
Mangsa-mangsa ini telah mengalami serangan melalui perisian keselamatan yang sah yang direka untuk menyulitkan komunikasi web melalui sijil digital. Nama perisian tidak didedahkan, dan kaedah tepat yang digunakan untuk mengedarkan SIGNBT tetap tidak didedahkan.
Selain menggunakan pelbagai strategi untuk mewujudkan dan mengekalkan kedudukan pada sistem yang terjejas, urutan serangan menggunakan pemuat dalam memori yang berfungsi sebagai saluran untuk melancarkan perisian hasad SIGNBT.
SIGNBT Malware Menghubungi Pelayan C2 untuk Arahan Tambahan
Tujuan utama SIGNBT adalah untuk mewujudkan komunikasi dengan pelayan jauh dan mendapatkan arahan selanjutnya untuk pelaksanaan pada hos yang dijangkiti. Perisian hasad ini mendapat namanya daripada penggunaan rentetan berbeza yang diawali dengan "SIGNBT" dalam komunikasi arahan dan kawalan (C2) berasaskan HTTPnya:
- SIGNBTLG, untuk sambungan awal
- SIGNBTKE, untuk mengumpul metadata sistem apabila menerima mesej SUCCESS daripada pelayan C2
- SIGNBTGC, untuk mengambil arahan
- SIGNBTFI, untuk menangani kegagalan komunikasi
- SIGNBTSR, untuk menunjukkan komunikasi yang berjaya
Sementara itu, pintu belakang Windows dilengkapi dengan pelbagai keupayaan yang bertujuan untuk mendapatkan kawalan ke atas sistem mangsa. Keupayaan ini termasuk menghitung proses, melaksanakan operasi fail dan direktori, dan menggunakan muatan seperti LPEClient dan alatan lain untuk mengekstrak bukti kelayakan.
Kumpulan Lazarus Terus Membangunkan Tekniknya dan Malware Arsenal
Hanya pada tahun 2023, penyelidik telah mengenal pasti sekurang-kurangnya tiga kempen Lazarus yang berbeza. Kempen ini menggunakan pelbagai kaedah pencerobohan dan prosedur jangkitan. Walau bagaimanapun, mereka secara konsisten menggunakan perisian hasad LPEClient untuk menyampaikan perisian tidak selamat peringkat akhir.
Salah satu kempen ini memainkan peranan penting dalam memperkenalkan implan yang dikenali sebagai Gopuram. Implan ini digunakan dalam serangan siber yang ditujukan kepada syarikat mata wang kripto, menggunakan versi perisian persidangan suara dan video 3CX yang diganggu.
Penemuan baru-baru ini menunjukkan operasi siber berkaitan Korea Utara yang berterusan dan menggariskan pembangunan berterusan Kumpulan Lazarus dan pengembangan senjata, strategi dan tekniknya. Kumpulan Lazarus kekal sebagai pelakon ancaman yang aktif dan boleh disesuaikan dalam landskap keselamatan siber kontemporari.
