SIGNBT Malware
O Grupo Lazarus, associado à Coreia do Norte, foi identificado como o autor de uma recente campanha cibernética. Nesta operação, um fornecedor de software não identificado foi vítima de um ataque facilitado pela exploração de vulnerabilidades de segurança bem conhecidas num software proeminente. A série de ataques levou à introdução de famílias de software ameaçadoras, incluindo o SIGNBT.
Além disso, os invasores utilizaram uma ferramenta de hacking amplamente reconhecida, comumente empregada por esse ator de ameaça para atividades como traçar perfis de vítimas em potencial e entregar cargas úteis. Esta ferramenta é conhecida como LPEClient nos esforços de rastreamento.
Índice
Um Grupo de Hackers APT (Advanced Persistent Threat) Teve como Alvo a Mesma Vítima Repetidamente
A utilização do malware SIGNBT neste ataque demonstrou um processo de infecção multifacetado e empregou técnicas avançadas. O Grupo Lazarus persistiu na exploração de vulnerabilidades no software da empresa visada com o objetivo de comprometer outros desenvolvedores de software. Nas suas atividades mais recentes, várias vítimas foram identificadas em meados de julho de 2023.
Estas vítimas foram submetidas a um ataque através de software de segurança legítimo concebido para encriptar comunicações na web através de certificados digitais. O nome do software não foi divulgado e o método preciso pelo qual ele foi transformado em arma para distribuir o SIGNBT permanece não divulgado.
Além de empregar uma série de estratégias para estabelecer e manter uma posição segura em sistemas comprometidos, as sequências de ataque empregaram um carregador na memória que serviu como canal para o lançamento do malware SIGNBT.
O SIGNBT Malware Entra em Contato com um Servidor C2 para Obter Instruções Adicionais
O objetivo principal do SIGNBT é estabelecer comunicação com um servidor remoto e recuperar instruções adicionais para execução no host infectado. Este malware recebe esse nome devido ao uso de strings distintas prefixadas com "SIGNBT" em suas comunicações de comando e controle (C2) baseadas em HTTP:
-
- SIGNBTLG, para a conexão inicial
-
- SIGNBTKE, para coletar metadados do sistema ao receber uma mensagem SUCCESS do servidor C2
-
- SIGNBTGC, para buscar comandos
-
- SIGNBTFI, para lidar com falhas de comunicação
-
- SIGNBTSR, para indicar comunicação bem-sucedida
Enquanto isso, o backdoor do Windows está equipado com uma ampla gama de recursos destinados a obter controle sobre o sistema da vítima. Esses recursos incluem enumeração de processos, execução de operações de arquivos e diretórios e implantação de cargas úteis como LPEClient e outras ferramentas para extração de credenciais.
O Grupo Lazarus Continua a Evoluir Suas Técnicas e Seu Arsenal de Malware
Apenas em 2023, os pesquisadores identificaram um mínimo de três campanhas distintas do Lazarus. Essas campanhas empregaram vários métodos de intrusão e procedimentos de infecção. No entanto, eles utilizaram consistentemente o malware LPEClient para entregar o software inseguro em estágio final.
Uma dessas campanhas desempenhou um papel fundamental na introdução de um implante conhecido como Gopuram. Este implante foi empregado em ataques cibernéticos direcionados a empresas de criptomoedas, utilizando uma versão adulterada do software de videoconferência e voz 3CX.
Estas descobertas recentes exemplificam as operações cibernéticas em curso ligadas à Coreia do Norte e sublinham o desenvolvimento contínuo e a expansão do arsenal de ferramentas, estratégias e técnicas do Grupo Lazarus. O Grupo Lazarus continua a ser um ator de ameaças ativo e adaptável no cenário contemporâneo de segurança cibernética.
