SIGNBT Zlonamerna programska oprema
Skupina Lazarus, ki je povezana s Severno Korejo, je bila identificirana kot povzročitelj nedavne kibernetske akcije. V tej operaciji je neidentificirani prodajalec programske opreme postal žrtev napada, ki je bil omogočen z izkoriščanjem dobro znanih varnostnih ranljivosti v vidni programski opremi. Serija napadov je na koncu pripeljala do uvedbe grozečih družin programske opreme, vključno s SIGNBT.
Poleg tega so napadalci uporabili splošno priznano hekersko orodje, ki ga ta akter grožnje običajno uporablja za dejavnosti, kot sta profiliranje potencialnih žrtev in dostava tovora. To orodje se pri prizadevanjih za sledenje imenuje LPEClient.
Kazalo
Skupina hekerjev APT (Advanced Persistent Threat) je večkrat ciljala na isto žrtev
Uporaba zlonamerne programske opreme SIGNBT v tem napadu je pokazala večplasten proces okužbe in uporabila napredne tehnike. Skupina Lazarus je vztrajala pri izkoriščanju ranljivosti v programski opremi ciljanega podjetja z namenom ogrožanja drugih razvijalcev programske opreme. V njihovih zadnjih dejavnostih je bilo od sredine julija 2023 identificiranih več žrtev.
Te žrtve so bile izpostavljene napadu prek zakonite varnostne programske opreme, zasnovane za šifriranje spletne komunikacije prek digitalnih potrdil. Ime programske opreme ni bilo razkrito in natančna metoda, s katero je bila uporabljena za distribucijo SIGNBT, ostaja nerazkrita.
Poleg uporabe vrste strategij za vzpostavitev in vzdrževanje opore na ogroženih sistemih so zaporedja napadov uporabljala nalagalnik v pomnilniku, ki je služil kot kanal za zagon zlonamerne programske opreme SIGNBT.
Zlonamerna programska oprema SIGNBT vzpostavi stik s strežnikom C2 za dodatna navodila
Primarni namen SIGNBT je vzpostaviti komunikacijo z oddaljenim strežnikom in pridobiti nadaljnja navodila za izvedbo na okuženem gostitelju. Ta zlonamerna programska oprema si je prislužila ime zaradi uporabe različnih nizov s predpono "SIGNBT" v svojih komunikacijah ukazov in nadzora (C2), ki temeljijo na HTTP:
- SIGNBTLG, za začetno povezavo
- SIGNBTKE, za zbiranje sistemskih metapodatkov po prejemu sporočila SUCCESS s strežnika C2
- SIGNBTGC, za pridobivanje ukazov
- SIGNBTFI, za obravnavo komunikacijskih napak
- SIGNBTSR, za označevanje uspešne komunikacije
Medtem so zakulisna vrata Windows opremljena s široko paleto zmožnosti, namenjenih pridobivanju nadzora nad sistemom žrtve. Te zmožnosti vključujejo naštevanje procesov, izvajanje operacij datotek in imenikov ter uvajanje uporabnih obremenitev, kot je LPEClient in druga orodja za pridobivanje poverilnic.
Skupina Lazarus še naprej razvija svoje tehnike in arzenal zlonamerne programske opreme
Samo leta 2023 so raziskovalci identificirali najmanj tri različne Lazarjeve kampanje. Te kampanje so uporabljale različne metode vdora in postopke okužbe. Vendar pa so dosledno uporabljali zlonamerno programsko opremo LPEClient za zagotavljanje nevarne programske opreme v zadnji fazi.
Ena od teh kampanj je imela ključno vlogo pri uvedbi vsadka, znanega kot Gopuram. Ta vsadek je bil uporabljen pri kibernetskih napadih, usmerjenih na podjetja za kriptovalute, z uporabo spremenjene različice programske opreme za glasovne in videokonference 3CX.
Te nedavne ugotovitve ponazarjajo tekoče kibernetske operacije, povezane s Severno Korejo, in poudarjajo stalen razvoj skupine Lazarus ter širitev njenega arzenala orodij, strategij in tehnik. Skupina Lazarus ostaja aktiven in prilagodljiv akter groženj v sodobni pokrajini kibernetske varnosti.
