СИГНБТ Малваре

Група Лазарус, која је повезана са Северном Корејом, идентификована је као починилац недавне сајбер кампање. У овој операцији, неидентификовани продавац софтвера постао је жртва напада који је олакшан искоришћавањем добро познатих безбедносних пропуста у истакнутом софтверу. Серија напада на крају је довела до увођења претећих софтверских породица, укључујући СИГНБТ.

Штавише, нападачи су користили широко познат хакерски алат који обично користи овај актер претње за активности као што су профилисање потенцијалних жртава и испорука терета. Овај алат се назива ЛПЕЦлиент у праћењу напора.

Хакерска група АПТ (Адванцед Персистент Тхреат) је више пута циљала исту жртву

Коришћење СИГНБТ малвера у овом нападу показало је вишеструки процес заразе и коришћене напредне технике. Лазарус група је истрајавала у искоришћавању рањивости унутар софтвера циљане компаније са циљем да компромитује друге програмере софтвера. У њиховим најновијим активностима, неколико жртава је идентификовано средином јула 2023.

Ове жртве су биле подвргнуте нападу преко легитимног безбедносног софтвера дизајнираног за шифровање веб комуникација путем дигиталних сертификата. Име софтвера није обелодањено, а прецизан метод којим је он био наоружан за дистрибуцију СИГНБТ остаје неоткривен.

Поред употребе низа стратегија за успостављање и одржавање упоришта на компромитованим системима, секвенце напада су користиле учитавач у меморији који је служио као канал за покретање СИГНБТ малвера.

СИГНБТ малвер контактира Ц2 сервер за додатна упутства

Примарна сврха СИГНБТ-а је успостављање комуникације са удаљеним сервером и преузимање даљих инструкција за извршење на зараженом хосту. Овај злонамерни софтвер је добио име по коришћењу различитих стрингова са префиксом „СИГНБТ“ у комуникацијама заснованим на ХТТП команди и контроли (Ц2):

• СИГНБТЛГ, за почетну везу
• СИГНБТКЕ, за прикупљање системских метаподатака по пријему поруке УСПЕХА од Ц2 сервера
• СИГНБТГЦ, за преузимање команди
• СИГНБТФИ, за руковање кваровима у комуникацији
• СИГНБТСР, за означавање успешне комуникације

У међувремену, Виндовс бацкдоор је опремљен широким спектром могућности које имају за циљ стицање контроле над системом жртве. Ове могућности обухватају набрајање процеса, извођење операција са датотекама и директоријумима и примену корисних оптерећења као што је ЛПЕЦлиент и других алата за издвајање акредитива.

Лазарус група наставља да развија своје технике и арсенал злонамерног софтвера

Само 2023. истраживачи су идентификовали најмање три различите Лазарус кампање. Ове кампање су користиле различите методе упада и процедуре заразе. Међутим, они су доследно користили ЛПЕЦлиент малвер за испоруку небезбедног софтвера у завршној фази.

Једна од ових кампања одиграла је кључну улогу у увођењу имплантата познатог као Гопурам. Овај имплант је коришћен у сајбер нападима усмереним на компаније за криптовалуте, користећи неовлашћену верзију 3ЦКС софтвера за гласовне и видео конференције.

Ови недавни налази представљају пример текућих сајбер операција повезаних са Северном Корејом и наглашавају континуирани развој и ширење свог арсенала алата, стратегија и техника Лазарус групе. Лазарус група остаје активан и прилагодљив актер претњи у савременом окружењу сајбер безбедности.