SIGNBT-malware
De Lazarus Groep, die banden heeft met Noord-Korea, is geïdentificeerd als de dader van een recente cybercampagne. Bij deze operatie werd een onbekende softwareleverancier het slachtoffer van een aanval die mogelijk werd gemaakt door misbruik te maken van bekende beveiligingsproblemen in prominente software. De reeks aanvallen leidde uiteindelijk tot de introductie van bedreigende softwarefamilies, waaronder SIGNBT.
Bovendien maakten de aanvallers gebruik van een algemeen erkende hacktool die vaak door deze bedreigingsactoren wordt gebruikt voor activiteiten zoals het profileren van potentiële slachtoffers en het leveren van ladingen. Deze tool wordt bij het volgen van inspanningen LPEClient genoemd.
Inhoudsopgave
De hackergroep APT (Advanced Persistent Threat) richtte zich herhaaldelijk op hetzelfde slachtoffer
Het gebruik van de SIGNBT-malware bij deze aanval demonstreerde een veelzijdig infectieproces en maakte gebruik van geavanceerde technieken. De Lazarus Group bleef kwetsbaarheden in de software van het beoogde bedrijf misbruiken met als doel andere softwareontwikkelaars in gevaar te brengen. Bij hun meest recente activiteiten zijn sinds medio juli 2023 verschillende slachtoffers geïdentificeerd.
Deze slachtoffers werden aangevallen via legitieme beveiligingssoftware die was ontworpen voor het coderen van webcommunicatie via digitale certificaten. De naam van de software is niet bekendgemaakt, en de precieze methode waarmee deze werd ingezet om SIGNBT te verspreiden blijft onbekend.
Naast het gebruik van een reeks strategieën om voet aan de grond te krijgen en te behouden op gecompromitteerde systemen, maakten de aanvalsreeksen gebruik van een in-memory loader die diende als kanaal voor het lanceren van de SIGNBT-malware.
SIGNBT Malware neemt contact op met een C2-server voor aanvullende instructies
Het primaire doel van SIGNBT is om communicatie tot stand te brengen met een externe server en verdere instructies op te halen voor uitvoering op de geïnfecteerde host. Deze malware dankt zijn naam aan het gebruik van verschillende tekenreeksen die worden voorafgegaan door "SIGNBT" in de op HTTP gebaseerde command-and-control (C2)-communicatie:
- SIGNBTLG, voor de eerste verbinding
- SIGNBTKE, voor het verzamelen van systeemmetagegevens na ontvangst van een SUCCESS-bericht van de C2-server
- SIGNBTGC, voor het ophalen van opdrachten
- SIGNBTFI, voor het afhandelen van communicatiefouten
- SIGNBTSR, voor het aangeven van succesvolle communicatie
Ondertussen is de Windows-achterdeur uitgerust met een breed scala aan mogelijkheden om controle te krijgen over het systeem van het slachtoffer. Deze mogelijkheden omvatten het opsommen van processen, het uitvoeren van bestands- en mapbewerkingen en het inzetten van payloads zoals LPEClient en andere tools voor het extraheren van inloggegevens.
De Lazarus Group blijft zijn technieken en malware-arsenaal ontwikkelen
Alleen al in 2023 hebben onderzoekers minimaal drie verschillende Lazarus-campagnes geïdentificeerd. Bij deze campagnes werd gebruik gemaakt van verschillende inbraakmethoden en infectieprocedures. Ze maakten echter consequent gebruik van de LPEClient-malware om onveilige software in de laatste fase te leveren.
Eén van deze campagnes speelde een cruciale rol bij de introductie van een implantaat dat bekend staat als Gopuram. Dit implantaat werd gebruikt bij cyberaanvallen gericht op cryptocurrency-bedrijven, waarbij gebruik werd gemaakt van een gemanipuleerde versie van de 3CX-software voor spraak- en videoconferenties.
Deze recente bevindingen illustreren de aanhoudende Noord-Koreaanse cyberoperaties en onderstrepen de voortdurende ontwikkeling en uitbreiding van haar arsenaal aan instrumenten, strategieën en technieken door de Lazarus Group. De Lazarus Group blijft een actieve en aanpasbare bedreigingsacteur in het hedendaagse cyberbeveiligingslandschap.
