SIGNBT Malware
Grupul Lazarus, care este asociat cu Coreea de Nord, a fost identificat drept autorul unei campanii cibernetice recente. În această operațiune, un furnizor de software neidentificat a căzut victima unui atac facilitat de exploatarea unor vulnerabilități de securitate binecunoscute într-un software proeminent. Seria de atacuri a dus în cele din urmă la introducerea unor familii de software amenințătoare, inclusiv SIGNBT.
În plus, atacatorii au folosit un instrument de hacking recunoscut pe scară largă, folosit în mod obișnuit de acest actor de amenințare pentru activități precum profilarea victimelor potențiale și livrarea sarcinilor utile. Acest instrument este denumit LPEClient în eforturile de urmărire.
Cuprins
Grupul de hackeri APT (Advanced Persistent Threat) a vizat aceeași victimă în mod repetat
Utilizarea malware-ului SIGNBT în acest atac a demonstrat un proces de infecție cu mai multe fațete și a folosit tehnici avansate. Grupul Lazarus a persistat în exploatarea vulnerabilităților din software-ul companiei vizate cu scopul de a compromite alți dezvoltatori de software. În activitățile lor cele mai recente, mai multe victime au fost identificate la jumătatea lunii iulie 2023.
Aceste victime au fost supuse unui atac prin intermediul unui software de securitate legitim conceput pentru criptarea comunicațiilor web prin certificate digitale. Numele software-ului nu a fost dezvăluit, iar metoda precisă prin care a fost folosit pentru a distribui SIGNBT rămâne nedezvăluită.
Pe lângă utilizarea unei game de strategii pentru a stabili și a menține un punct de sprijin pe sistemele compromise, secvențele de atac au folosit un încărcător în memorie care a servit drept canal pentru lansarea malware-ului SIGNBT.
SIGNBT Malware contactează un server C2 pentru instrucțiuni suplimentare
Scopul principal al SIGNBT este de a stabili comunicarea cu un server la distanță și de a prelua instrucțiuni suplimentare pentru execuție pe gazda infectată. Acest malware își câștigă numele din utilizarea șirurilor de caractere distincte care sunt prefixate cu „SIGNBT” în comunicațiile sale de comandă și control (C2) bazate pe HTTP:
- SIGNBTLG, pentru conexiunea inițială
- SIGNBTKE, pentru colectarea metadatelor sistemului la primirea unui mesaj SUCCESS de la serverul C2
- SIGNBTGC, pentru preluarea comenzilor
- SIGNBTFI, pentru gestionarea erorilor de comunicare
- SIGNBTSR, pentru indicarea unei comunicări reușite
Între timp, ușa din spate Windows este echipată cu o gamă largă de capabilități menite să câștige controlul asupra sistemului victimei. Aceste capabilități includ enumerarea proceselor, efectuarea de operațiuni cu fișiere și directoare și implementarea sarcinilor utile precum LPEClient și alte instrumente pentru extragerea acreditărilor.
Grupul Lazarus continuă să-și evolueze tehnicile și Arsenalul de malware
Chiar în 2023, cercetătorii au identificat cel puțin trei campanii distincte Lazăr. Aceste campanii au folosit diverse metode de intruziune și proceduri de infectare. Cu toate acestea, au folosit în mod constant malware-ul LPEClient pentru a livra software-ul nesigur din etapa finală.
Una dintre aceste campanii a jucat un rol esențial în introducerea unui implant cunoscut sub numele de Gopuram. Acest implant a fost folosit în atacuri cibernetice îndreptate către companii de criptomonede, folosind o versiune modificată a software-ului de conferință vocală și video 3CX.
Aceste descoperiri recente exemplifică operațiunile cibernetice în curs de desfășurare legate de Coreea de Nord și subliniază dezvoltarea și extinderea continuă a grupului Lazarus a arsenalul său de instrumente, strategii și tehnici. Grupul Lazarus rămâne un actor activ și adaptabil al amenințărilor în peisajul securității cibernetice contemporane.
