Złośliwe oprogramowanie SIGNBT
Jako sprawcę niedawnej kampanii cybernetycznej zidentyfikowano powiązaną z Koreą Północną grupę Lazarus. Podczas tej operacji niezidentyfikowany dostawca oprogramowania padł ofiarą ataku polegającego na wykorzystaniu dobrze znanych luk w zabezpieczeniach ważnego oprogramowania. Seria ataków ostatecznie doprowadziła do wprowadzenia zagrażających rodzin oprogramowania, w tym SIGNBT.
Ponadto osoby atakujące wykorzystały powszechnie uznawane narzędzie hakerskie powszechnie stosowane przez tego ugrupowania zagrażającego do takich działań, jak profilowanie potencjalnych ofiar i dostarczanie ładunków. To narzędzie jest określane jako LPEClient w śledzeniu wysiłków.
Spis treści
Grupa hakerów APT (Advanced Persistent Threat) wielokrotnie atakowała tę samą ofiarę
Wykorzystanie szkodliwego oprogramowania SIGNBT w tym ataku wykazało wieloaspektowy proces infekcji i zastosowano zaawansowane techniki. Grupa Lazarus w dalszym ciągu wykorzystywała luki w oprogramowaniu docelowej firmy w celu narażenia na szwank innych twórców oprogramowania. W wyniku ich ostatnich działań według stanu na połowę lipca 2023 r. zidentyfikowano kilka ofiar.
Ofiary te padły ofiarą ataku za pośrednictwem legalnego oprogramowania zabezpieczającego przeznaczonego do szyfrowania komunikacji internetowej za pomocą certyfikatów cyfrowych. Nazwa oprogramowania nie została ujawniona, a dokładna metoda, za pomocą której zostało ono użyte do dystrybucji SIGNBT, pozostaje nieujawniona.
Oprócz wykorzystania szeregu strategii mających na celu ustanowienie i utrzymanie przyczółka w zaatakowanych systemach, sekwencje ataków wykorzystywały moduł ładujący w pamięci, który służył jako kanał do uruchamiania szkodliwego oprogramowania SIGNBT.
Złośliwe oprogramowanie SIGNBT kontaktuje się z serwerem C2 w celu uzyskania dodatkowych instrukcji
Głównym celem SIGNBT jest nawiązanie komunikacji ze zdalnym serwerem i pobranie dalszych instrukcji do wykonania na zainfekowanym hoście. To złośliwe oprogramowanie zyskało swoją nazwę dzięki wykorzystaniu odrębnych ciągów znaków poprzedzonych prefiksem „SIGNBT” w komunikacji typu „dowodzenie i kontrola” (C2) opartej na protokole HTTP:
- SIGNBTLG, dla połączenia początkowego
- SIGNBTKE, do zbierania metadanych systemowych po odebraniu komunikatu SUKCES z serwera C2
- SIGNBTGC, do pobierania poleceń
- SIGNBTFI do obsługi błędów komunikacji
- SIGNBTSR, wskazujący pomyślną komunikację
Tymczasem backdoor systemu Windows wyposażony jest w szeroki wachlarz możliwości mających na celu przejęcie kontroli nad systemem ofiary. Możliwości te obejmują wyliczanie procesów, wykonywanie operacji na plikach i katalogach oraz wdrażanie ładunków, takich jak LPEClient i innych narzędzi do wyodrębniania poświadczeń.
Grupa Lazarus w dalszym ciągu rozwija swoje techniki i arsenał złośliwego oprogramowania
Tylko w 2023 r. badacze zidentyfikowali co najmniej trzy odrębne kampanie Lazarus. W kampaniach tych wykorzystywano różne metody włamań i procedury infekcji. Jednak konsekwentnie wykorzystywali złośliwe oprogramowanie LPEClient do dostarczania niebezpiecznego oprogramowania w końcowej fazie.
Jedna z tych kampanii odegrała kluczową rolę we wprowadzeniu implantu znanego jako Gopuram. Implant ten został wykorzystany w cyberatakach skierowanych na firmy kryptowalutowe przy użyciu zmodyfikowanej wersji oprogramowania do rozmów głosowych i wideokonferencji 3CX.
Te ostatnie ustalenia ilustrują trwające operacje cybernetyczne powiązane z Koreą Północną i podkreślają ciągły rozwój i poszerzanie arsenału narzędzi, strategii i technik Grupy Lazarus. Grupa Lazarus pozostaje aktywnym i elastycznym aktorem zagrażającym we współczesnym krajobrazie cyberbezpieczeństwa.
