SIGNBT Вредоносное ПО
Группа Lazarus, связанная с Северной Кореей, была признана виновником недавней киберкампании. В ходе этой операции неизвестный поставщик программного обеспечения стал жертвой атаки, основанной на использовании известных уязвимостей безопасности в известном программном обеспечении. Серия атак в конечном итоге привела к появлению угрожающих семейств программного обеспечения, включая SIGNBT.
Кроме того, злоумышленники использовали широко известный хакерский инструмент, обычно используемый этим злоумышленником для таких действий, как составление профиля потенциальных жертв и доставка полезных данных. Этот инструмент при отслеживании усилий называется LPEClient.
Оглавление
Хакерская группа APT (Advanced Persistent Threat) неоднократно атаковала одну и ту же жертву
Использование вредоносного ПО SIGNBT в этой атаке продемонстрировало многогранный процесс заражения и использование передовых технологий. Группа Lazarus продолжала использовать уязвимости в программном обеспечении целевой компании с целью компрометации других разработчиков программного обеспечения. В ходе их последней деятельности по состоянию на середину июля 2023 года были идентифицированы несколько жертв.
Эти жертвы подверглись атаке с использованием законного защитного программного обеспечения, предназначенного для шифрования веб-коммуникаций с помощью цифровых сертификатов. Название программного обеспечения не разглашается, и точный метод, с помощью которого оно было использовано для распространения SIGNBT, остается нераскрытым.
Помимо использования ряда стратегий для установления и поддержания контроля над скомпрометированными системами, в ходе атак использовался загрузчик в памяти, который служил каналом для запуска вредоносного ПО SIGNBT.
Вредоносное ПО SIGNBT обращается к серверу C2 за дополнительными инструкциями
Основная цель SIGNBT — установить связь с удаленным сервером и получить дальнейшие инструкции для выполнения на зараженном хосте. Это вредоносное ПО получило свое название из-за использования отдельных строк с префиксом «SIGNBT» в средствах управления и контроля (C2) на основе HTTP:
- SIGNBTLG, для первоначального подключения
- SIGNBTKE, для сбора системных метаданных при получении сообщения УСПЕХ от сервера C2.
- SIGNBTGC для получения команд
- SIGNBTFI для обработки сбоев связи.
- SIGNBTSR, для обозначения успешной связи.
Между тем, бэкдор Windows оснащен широким набором возможностей, направленных на получение контроля над системой жертвы. Эти возможности включают в себя перечисление процессов, выполнение операций с файлами и каталогами, а также развертывание полезных данных, таких как LPEClient и других инструментов для извлечения учетных данных.
Группа Lazarus продолжает развивать свои методы и арсенал вредоносных программ
Только в 2023 году исследователи выявили как минимум три отдельные кампании Лазаря. В этих кампаниях использовались различные методы проникновения и процедуры заражения. Однако они постоянно использовали вредоносное ПО LPEClient для доставки небезопасного программного обеспечения последней стадии.
Одна из этих кампаний сыграла решающую роль во внедрении имплантата, известного как Гопурам. Этот имплантат использовался в кибератаках на криптовалютные компании с использованием подделанной версии программного обеспечения для голосовых и видеоконференций 3CX.
Эти недавние результаты служат примером продолжающихся киберопераций, связанных с Северной Кореей, и подчеркивают постоянное развитие Lazarus Group и расширение ее арсенала инструментов, стратегий и методов. Группа Lazarus остается активным и адаптируемым субъектом угроз в современном мире кибербезопасности.
