SIGNBT मालवेयर

उत्तर कोरियासँग सम्बन्धित लाजरस समूहलाई हालैको साइबर अभियानको दोषीको रूपमा पहिचान गरिएको छ। यस अपरेसनमा, एक अज्ञात सफ्टवेयर विक्रेता एक प्रमुख सफ्टवेयरमा प्रख्यात सुरक्षा कमजोरीहरूको शोषण गरेर सहयोग गरिएको आक्रमणको सिकार भयो। आक्रमणको शृङ्खलाले अन्ततः SIGNBT सहित धम्की दिने सफ्टवेयर परिवारहरूको परिचय दियो।

यसबाहेक, आक्रमणकारीहरूले सम्भावित पीडितहरूलाई प्रोफाइल गर्ने र पेलोडहरू डेलिभर गर्ने जस्ता गतिविधिहरूका लागि सामान्यतया यो धम्की अभिनेताद्वारा नियोजित व्यापक रूपमा मान्यता प्राप्त ह्याकिङ उपकरणको प्रयोग गरे। यस उपकरणलाई ट्र्याकिङ प्रयासहरूमा LPEClient भनिन्छ।

APT (Advanced Persistent Threat) ह्याकर समूहले उही पीडितलाई बारम्बार निशाना बनायो

यस आक्रमणमा SIGNBT मालवेयरको उपयोगले बहुआयामिक संक्रमण प्रक्रिया र उन्नत प्रविधिहरू प्रयोग गरेको देखाएको छ। लाजरस समूहले अन्य सफ्टवेयर विकासकर्ताहरूसँग सम्झौता गर्ने उद्देश्यले लक्षित कम्पनीको सफ्टवेयर भित्र कमजोरीहरूको शोषण गर्न जारी राख्यो। तिनीहरूको सबैभन्दा हालका गतिविधिहरूमा, मध्य जुलाई 2023 को रूपमा धेरै पीडितहरू पहिचान गरिएको छ।

यी पीडितहरू डिजिटल प्रमाणपत्रहरू मार्फत वेब संचार इन्क्रिप्ट गर्न डिजाइन गरिएको वैध सुरक्षा सफ्टवेयर मार्फत आक्रमणको शिकार भएका थिए। सफ्टवेयरको नाम खुलासा गरिएको थिएन, र सही विधि जसको माध्यमबाट यसलाई SIGNBT वितरण गर्न हतियार बनाइएको थियो, अज्ञात छ।

समझौता गरिएका प्रणालीहरूमा खुट्टा स्थापित गर्न र कायम राख्न रणनीतिहरूको दायरा प्रयोग गर्नुको अतिरिक्त, आक्रमण अनुक्रमहरूले इन-मेमोरी लोडरलाई नियोजित गर्‍यो जसले SIGNBT मालवेयर सुरू गर्न कन्ड्युटको रूपमा काम गर्‍यो।

SIGNBT मालवेयरले थप निर्देशनहरूको लागि C2 सर्भरलाई सम्पर्क गर्छ

SIGNBT को प्राथमिक उद्देश्य रिमोट सर्भरसँग सञ्चार स्थापना गर्नु र संक्रमित होस्टमा कार्यान्वयनको लागि थप निर्देशनहरू प्राप्त गर्नु हो। यो मालवेयरले यसको HTTP-आधारित आदेश-र-नियन्त्रण (C2) संचारहरूमा "SIGNBT" को साथ उपसर्ग लगाइएको फरक स्ट्रिङहरूको प्रयोगबाट यसको नाम कमाउँछ:

• SIGNBTLG, प्रारम्भिक जडानको लागि
• SIGNBTKE, C2 सर्भरबाट सफलता सन्देश प्राप्त गरेपछि प्रणाली मेटाडाटा सङ्कलन गर्न
• SIGNBTGC, आदेशहरू प्राप्त गर्नका लागि
• SIGNBTFI, संचार विफलताहरू ह्यान्डल गर्नका लागि
• SIGNBTSR, सफल संचार संकेतको लागि

यसैबीच, विन्डोज ब्याकडोर पीडितको प्रणालीमा नियन्त्रण प्राप्त गर्ने उद्देश्यले क्षमताहरूको विस्तृत एरेसँग सुसज्जित छ। यी क्षमताहरूमा गणना प्रक्रियाहरू, फाइल र डाइरेक्टरी सञ्चालनहरू, र LPEClient जस्ता पेलोडहरू प्रयोग गर्ने र प्रमाणहरू निकाल्नका लागि अन्य उपकरणहरू समावेश छन्।

लाजरस समूहले यसको प्रविधि र मालवेयर आर्सेनलको विकास गर्न जारी राख्छ

२०२३ मा मात्रै, अन्वेषकहरूले कम्तीमा तीनवटा छुट्टै लाजरस अभियानहरू पहिचान गरेका छन्। यी अभियानहरूले विभिन्न घुसपैठ विधिहरू र संक्रमण प्रक्रियाहरू प्रयोग गरे। यद्यपि, तिनीहरूले लगातार अन्तिम चरणको असुरक्षित सफ्टवेयर डेलिभर गर्न LPEClient मालवेयर प्रयोग गरे।

यी मध्ये एउटा अभियानले गोपुरम भनेर चिनिने इम्प्लान्टको परिचय दिन महत्त्वपूर्ण भूमिका खेलेको थियो। यो प्रत्यारोपण 3CX भ्वाइस र भिडियो कन्फरेन्सिङ सफ्टवेयरको छेडछाड संस्करण प्रयोग गरी क्रिप्टोकरेन्सी कम्पनीहरूमा निर्देशित साइबर आक्रमणहरूमा प्रयोग गरिएको थियो।

यी भर्खरका खोजहरूले उत्तर कोरियासँग जोडिएको साइबर अपरेसनहरू चलिरहेको उदाहरण दिन्छ र लाजरस समूहको उपकरण, रणनीति र प्रविधिहरूको शस्त्रागारको निरन्तर विकास र विस्तारलाई अधोरेखित गर्दछ। लाजरस समूह समकालीन साइबरसुरक्षा परिदृश्यमा सक्रिय र अनुकूलनीय खतरा अभिनेता बनेको छ।