SIGNBT Malware
Grupi Lazarus, i cili është i lidhur me Korenë e Veriut, është identifikuar si autori i një fushate kibernetike të fundit. Në këtë operacion, një shitës i paidentifikuar softuerësh ra viktimë e një sulmi të lehtësuar nga shfrytëzimi i dobësive të njohura të sigurisë në një softuer të shquar. Seria e sulmeve përfundimisht çoi në prezantimin e familjeve kërcënuese të softuerit, duke përfshirë SIGNBT.
Për më tepër, sulmuesit përdorën një mjet hakerimi të njohur gjerësisht të përdorur zakonisht nga ky aktor kërcënimi për aktivitete të tilla si profilizimi i viktimave të mundshme dhe dërgimi i ngarkesave. Ky mjet referohet si LPEClient në përpjekjet e gjurmimit.
Tabela e Përmbajtjes
Grupi i Hakerëve APT (Kërcënimi i Përparuar i Përhershëm) synoi të njëjtën viktimë në mënyrë të përsëritur
Përdorimi i malware SIGNBT në këtë sulm demonstroi një proces infeksioni të shumëanshëm dhe përdori teknika të avancuara. Grupi Lazarus vazhdoi të shfrytëzonte dobësitë brenda softuerit të kompanisë së synuar me synimin për të kompromentuar zhvilluesit e tjerë të softuerit. Në aktivitetet e tyre më të fundit, disa viktima janë identifikuar që nga mesi i korrikut 2023.
Këto viktima iu nënshtruan një sulmi nëpërmjet softuerit legjitim të sigurisë të krijuar për të koduar komunikimet në ueb përmes certifikatave dixhitale. Emri i softuerit nuk u zbulua dhe metoda e saktë përmes së cilës u armatos për të shpërndarë SIGNBT mbetet e pazbuluar.
Përveç përdorimit të një sërë strategjish për të vendosur dhe mbajtur një terren në sistemet e komprometuara, sekuencat e sulmit përdorën një ngarkues në memorie që shërbeu si një kanal për lëshimin e malware SIGNBT.
SIGNBT Malware kontakton një server C2 për udhëzime shtesë
Qëllimi kryesor i SIGNBT është të krijojë komunikim me një server në distancë dhe të marrë udhëzime të mëtejshme për ekzekutim në hostin e infektuar. Ky malware e fiton emrin e tij nga përdorimi i vargjeve të veçanta që janë të parashtesuara me "SIGNBT" në komunikimet e tij të komandës dhe kontrollit (C2) të bazuar në HTTP:
- SIGNBTLG, për lidhjen fillestare
- SIGNBTKE, për mbledhjen e meta të dhënave të sistemit pas marrjes së një mesazhi SUKSES nga serveri C2
- SIGNBTGC, për marrjen e komandave
- SIGNBTFI, për trajtimin e dështimeve të komunikimit
- SIGNBTSR, për të treguar komunikim të suksesshëm
Ndërkohë, porta e pasme e Windows është e pajisur me një gamë të gjerë aftësish që synojnë marrjen e kontrollit mbi sistemin e viktimës. Këto aftësi përfshijnë numërimin e proceseve, kryerjen e operacioneve të skedarëve dhe drejtorive, dhe vendosjen e ngarkesave të dobishme si LPEClient dhe mjete të tjera për nxjerrjen e kredencialeve.
Grupi Lazarus vazhdon të zhvillojë teknikat e tij dhe Arsenalin e Malware
Vetëm në vitin 2023, studiuesit kanë identifikuar të paktën tre fushata të ndryshme të Lazarus. Këto fushata përdorën metoda të ndryshme të ndërhyrjes dhe procedurat e infeksionit. Megjithatë, ata përdorën vazhdimisht malware LPEClient për të ofruar softuerin e pasigurt të fazës së fundit.
Një nga këto fushata luajti një rol kryesor në prezantimin e një implanti të njohur si Gopuram. Ky implant u përdor në sulmet kibernetike të drejtuara ndaj kompanive të kriptomonedhave, duke përdorur një version të manipuluar të softuerit 3CX të konferencave me zë dhe video.
Këto gjetje të fundit janë shembull i operacioneve të vazhdueshme kibernetike të lidhura me Korenë e Veriut dhe nënvizojnë zhvillimin dhe zgjerimin e vazhdueshëm të Grupit Lazarus të arsenalit të tij të mjeteve, strategjive dhe teknikave. Grupi Lazarus mbetet një aktor kërcënimi aktiv dhe i adaptueshëm në peizazhin bashkëkohor të sigurisë kibernetike.
