SIGNBT skadlig programvara
Lazarus Group, som är associerad med Nordkorea, har identifierats som förövaren av en nyligen genomförd cyberkampanj. I den här operationen föll en oidentifierad mjukvaruleverantör offer för en attack som underlättades genom att utnyttja välkända säkerhetsbrister i en framträdande programvara. Serien av attacker ledde slutligen till introduktionen av hotfulla programvarufamiljer, inklusive SIGNBT.
Dessutom använde angriparna ett allmänt erkänt hackverktyg som vanligtvis används av denna hotaktör för aktiviteter som att profilera potentiella offer och leverera nyttolaster. Det här verktyget kallas LPEClient i spårningsinsatser.
Innehållsförteckning
APT (Advanced Persistent Threat) Hacker Group riktade sig mot samma offer upprepade gånger
Användningen av SIGNBT malware i denna attack visade en mångfacetterad infektionsprocess och använde avancerade tekniker. Lazarus Group fortsatte att utnyttja sårbarheter i det riktade företagets mjukvara i syfte att äventyra andra mjukvaruutvecklare. I deras senaste aktiviteter har flera offer identifierats i mitten av juli 2023.
Dessa offer utsattes för en attack via legitim säkerhetsprogramvara utformad för att kryptera webbkommunikation genom digitala certifikat. Programvarans namn avslöjades inte, och den exakta metoden genom vilken den beväpnades för att distribuera SIGNBT förblir okänd.
Förutom att använda en rad strategier för att etablera och bibehålla fotfäste på komprometterade system, använde attacksekvenserna en in-memory loader som fungerade som en kanal för att lansera SIGNBT malware.
SIGNBT Malware kontaktar en C2-server för ytterligare instruktioner
Det primära syftet med SIGNBT är att upprätta kommunikation med en fjärrserver och hämta ytterligare instruktioner för exekvering på den infekterade värden. Denna skadliga programvara har fått sitt namn från användningen av distinkta strängar som har prefixet "SIGNBT" i sin HTTP-baserade kommando-och-kontroll (C2) kommunikation:
- SIGNBTLG, för den första anslutningen
- SIGNBTKE, för att samla in systemmetadata vid mottagande av ett SUCCESS-meddelande från C2-servern
- SIGNBTGC, för att hämta kommandon
- SIGNBTFI, för hantering av kommunikationsfel
- SIGNBTSR, för att indikera framgångsrik kommunikation
Samtidigt är Windows-bakdörren utrustad med ett brett utbud av funktioner som syftar till att få kontroll över offrets system. Dessa funktioner inkluderar att räkna upp processer, utföra fil- och katalogoperationer och distribuera nyttolaster som LPEClient och andra verktyg för att extrahera referenser.
Lazarus Group fortsätter att utveckla sina tekniker och skadlig programvara Arsenal
Bara 2023 har forskare identifierat minst tre distinkta Lazarus-kampanjer. Dessa kampanjer använde olika intrångsmetoder och infektionsprocedurer. Men de använde konsekvent skadlig programvara LPEClient för att leverera den osäkra programvaran i slutskedet.
En av dessa kampanjer spelade en avgörande roll för att introducera ett implantat som kallas Gopuram. Detta implantat användes i cyberattacker riktade mot kryptovalutaföretag, med en manipulerad version av 3CX röst- och videokonferensprogramvara.
Dessa senaste fynd exemplifierar pågående nordkoreanskt kopplade cyberoperationer och understryker Lazarus Groups kontinuerliga utveckling och expansion av dess arsenal av verktyg, strategier och tekniker. Lazarus Group förblir en aktiv och anpassningsbar hotaktör i det samtida cybersäkerhetslandskapet.
