Škodlivý softvér SIGNBT
Skupina Lazarus, ktorá je spojená so Severnou Kóreou, bola identifikovaná ako páchateľ nedávnej kybernetickej kampane. Pri tejto operácii sa neidentifikovaný dodávateľ softvéru stal obeťou útoku, ktorý uľahčil zneužitie známych bezpečnostných zraniteľností v prominentnom softvéri. Séria útokov nakoniec viedla k zavedeniu ohrozujúcich softvérových rodín vrátane SIGNBT.
Okrem toho útočníci využili všeobecne uznávaný hackerský nástroj, ktorý tento aktér hrozby bežne používa na činnosti, ako je profilovanie potenciálnych obetí a doručovanie užitočného zaťaženia. Tento nástroj sa v úsilí o sledovanie označuje ako LPEClient.
Obsah
Hackerská skupina APT (Advanced Persistent Threat) sa opakovane zamerala na tú istú obeť
Využitie malvéru SIGNBT pri tomto útoku demonštrovalo mnohostranný proces infekcie a využívalo pokročilé techniky. Skupina Lazarus pokračovala vo využívaní zraniteľných miest v softvéri cieľovej spoločnosti s cieľom kompromitovať ostatných vývojárov softvéru. Pri ich najnovších aktivitách bolo od polovice júla 2023 identifikovaných niekoľko obetí.
Tieto obete boli vystavené útoku prostredníctvom legitímneho bezpečnostného softvéru určeného na šifrovanie webovej komunikácie prostredníctvom digitálnych certifikátov. Názov softvéru nebol zverejnený a presná metóda, prostredníctvom ktorej bol vyzbrojený na distribúciu SIGNBT, zostáva nezverejnená.
Okrem využitia rôznych stratégií na vytvorenie a udržanie oporu v napadnutých systémoch, útočné sekvencie využívali in-memory loader, ktorý slúžil ako kanál na spustenie malvéru SIGNBT.
SIGNBT Malware kontaktuje server C2 pre ďalšie pokyny
Primárnym účelom SIGNBT je nadviazať komunikáciu so vzdialeným serverom a získať ďalšie inštrukcie na vykonanie na infikovanom hostiteľovi. Tento malvér získal svoje meno vďaka používaniu odlišných reťazcov, ktoré majú predponu „SIGNBT“ vo svojej komunikácii príkazov a riadenia (C2) založenej na protokole HTTP:
- SIGNBTLG, pre počiatočné pripojenie
- SIGNBTKE, na zber systémových metadát po prijatí správy ÚSPECH zo servera C2
- SIGNBTGC, na načítanie príkazov
- SIGNBTFI, na riešenie porúch komunikácie
- SIGNBTSR, na označenie úspešnej komunikácie
Medzitým sú zadné vrátka Windows vybavené širokou škálou možností zameraných na získanie kontroly nad systémom obete. Tieto schopnosti zahŕňajú enumeráciu procesov, vykonávanie operácií so súbormi a adresármi a nasadzovanie užitočných dát, ako je LPEClient a ďalšie nástroje na extrakciu poverení.
Skupina Lazarus pokračuje vo vývoji svojich techník a arzenálu škodlivého softvéru
Len v roku 2023 výskumníci identifikovali minimálne tri odlišné kampane Lazarus. Tieto kampane využívali rôzne metódy prieniku a infekčné postupy. Dôsledne však využívali malvér LPEClient na dodanie nebezpečného softvéru v poslednej fáze.
Jedna z týchto kampaní zohrala kľúčovú úlohu pri zavádzaní implantátu známeho ako Gopuram. Tento implantát bol použitý pri kybernetických útokoch namierených proti kryptomenovým spoločnostiam s použitím sfalšovanej verzie hlasového a videokonferenčného softvéru 3CX.
Tieto nedávne zistenia sú príkladom prebiehajúcich kybernetických operácií spojených so Severnou Kóreou a podčiarkujú neustály vývoj a rozširovanie arzenálu nástrojov, stratégií a techník skupiny Lazarus Group. Skupina Lazarus zostáva v súčasnom prostredí kybernetickej bezpečnosti aktívnym a prispôsobivým aktérom v oblasti hrozieb.
