SIGNBT skadelig programvare
Lazarus Group, som er tilknyttet Nord-Korea, er identifisert som gjerningsmannen for en nylig cyberkampanje. I denne operasjonen ble en uidentifisert programvareleverandør offer for et angrep tilrettelagt ved å utnytte velkjente sikkerhetssårbarheter i en fremtredende programvare. Serien av angrep førte til slutt til introduksjonen av truende programvarefamilier, inkludert SIGNBT.
Videre brukte angriperne et allment anerkjent hackerverktøy som ofte brukes av denne trusselaktøren for aktiviteter som profilering av potensielle ofre og levering av nyttelast. Dette verktøyet blir referert til som LPEClient i sporing av innsats.
Innholdsfortegnelse
APT (Advanced Persistent Threat) Hacker Group målrettet mot samme offer gjentatte ganger
Bruken av SIGNBT malware i dette angrepet demonstrerte en mangefasettert infeksjonsprosess og brukte avanserte teknikker. Lazarus Group fortsatte å utnytte sårbarheter i det målrettede selskapets programvare med det formål å kompromittere andre programvareutviklere. I deres siste aktiviteter har flere ofre blitt identifisert i midten av juli 2023.
Disse ofrene ble utsatt for et angrep via legitim sikkerhetsprogramvare designet for å kryptere nettkommunikasjon gjennom digitale sertifikater. Programvarens navn ble ikke avslørt, og den nøyaktige metoden som den ble bevæpnet for å distribuere SIGNBT forblir ukjent.
I tillegg til å bruke en rekke strategier for å etablere og opprettholde fotfeste på kompromitterte systemer, brukte angrepssekvensene en minnelaster som fungerte som en kanal for å lansere SIGNBT malware.
SIGNBT Malware kontakter en C2-server for ytterligere instruksjoner
Det primære formålet med SIGNBT er å etablere kommunikasjon med en ekstern server og hente ytterligere instruksjoner for kjøring på den infiserte verten. Denne skadevaren har fått navnet sitt fra bruken av distinkte strenger som er prefikset med "SIGNBT" i sin HTTP-baserte kommando-og-kontroll (C2) kommunikasjon:
- SIGNBTLG, for den første tilkoblingen
- SIGNBTKE, for å samle systemmetadata ved mottak av en SUKSESS-melding fra C2-serveren
- SIGNBTGC, for å hente kommandoer
- SIGNBTFI, for håndtering av kommunikasjonsfeil
- SIGNBTSR, for å indikere vellykket kommunikasjon
I mellomtiden er Windows-bakdøren utstyrt med et bredt spekter av funksjoner rettet mot å få kontroll over offerets system. Disse egenskapene inkluderer oppregning av prosesser, utførelse av fil- og katalogoperasjoner og distribusjon av nyttelaster som LPEClient og andre verktøy for å trekke ut legitimasjon.
Lazarus Group fortsetter å utvikle sine teknikker og skadelig programvare Arsenal
Bare i 2023 har forskere identifisert minimum tre forskjellige Lazarus-kampanjer. Disse kampanjene brukte ulike inntrengningsmetoder og infeksjonsprosedyrer. Imidlertid brukte de konsekvent LPEClient-malware for å levere den usikre programvaren i siste fase.
En av disse kampanjene spilte en sentral rolle i introduksjonen av et implantat kjent som Gopuram. Dette implantatet ble brukt i nettangrep rettet mot kryptovalutaselskaper, ved å bruke en tuklet versjon av 3CX-programvaren for tale- og videokonferanser.
Disse nylige funnene eksemplifiserer pågående nordkoreansk-tilknyttede cyberoperasjoner og understreker Lazarus Groups kontinuerlige utvikling og utvidelse av arsenalet av verktøy, strategier og teknikker. Lazarus Group er fortsatt en aktiv og tilpasningsdyktig trusselaktør i det moderne cybersikkerhetslandskapet.
