SIGNBT మాల్వేర్
ఉత్తర కొరియాతో సంబంధం ఉన్న లాజరస్ గ్రూప్ ఇటీవల సైబర్ ప్రచారానికి పాల్పడినట్లు గుర్తించారు. ఈ ఆపరేషన్లో, ఒక ప్రముఖ సాఫ్ట్వేర్లోని సుప్రసిద్ధ భద్రతా లోపాలను ఉపయోగించడం ద్వారా సులభతరం చేయబడిన దాడికి గుర్తుతెలియని సాఫ్ట్వేర్ విక్రేత బలి అయ్యాడు. దాడుల శ్రేణి చివరికి SIGNBTతో సహా బెదిరింపు సాఫ్ట్వేర్ కుటుంబాలను ప్రవేశపెట్టడానికి దారితీసింది.
అంతేకాకుండా, సంభావ్య బాధితులను ప్రొఫైలింగ్ చేయడం మరియు పేలోడ్లను పంపిణీ చేయడం వంటి కార్యకలాపాల కోసం దాడి చేసేవారు ఈ బెదిరింపు నటుడు సాధారణంగా ఉపయోగించే విస్తృతంగా గుర్తించబడిన హ్యాకింగ్ సాధనాన్ని ఉపయోగించారు. ట్రాకింగ్ ప్రయత్నాలలో ఈ సాధనం LPEClientగా సూచించబడుతుంది.
విషయ సూచిక
APT (అధునాతన పెర్సిస్టెంట్ థ్రెట్) హ్యాకర్ గ్రూప్ అదే బాధితుడిని పదేపదే లక్ష్యంగా చేసుకుంది
ఈ దాడిలో SIGNBT మాల్వేర్ యొక్క వినియోగం బహుముఖ సంక్రమణ ప్రక్రియను ప్రదర్శించింది మరియు అధునాతన సాంకేతికతలను ఉపయోగించింది. ఇతర సాఫ్ట్వేర్ డెవలపర్లను రాజీ చేసే లక్ష్యంతో లక్షిత కంపెనీ సాఫ్ట్వేర్లోని దుర్బలత్వాలను ఉపయోగించుకోవడంలో లాజరస్ గ్రూప్ పట్టుదలతో ఉంది. వారి ఇటీవలి కార్యకలాపాలలో, జూలై 2023 మధ్యలో అనేక మంది బాధితులు గుర్తించబడ్డారు.
డిజిటల్ సర్టిఫికేట్ల ద్వారా వెబ్ కమ్యూనికేషన్లను గుప్తీకరించడానికి రూపొందించిన చట్టబద్ధమైన భద్రతా సాఫ్ట్వేర్ ద్వారా ఈ బాధితులు దాడికి గురయ్యారు. సాఫ్ట్వేర్ పేరు బహిర్గతం చేయబడలేదు మరియు SIGNBTని పంపిణీ చేయడానికి ఆయుధీకరించబడిన ఖచ్చితమైన పద్ధతి ఇంకా బహిర్గతం కాలేదు.
రాజీపడిన సిస్టమ్లపై పట్టును స్థాపించడానికి మరియు నిర్వహించడానికి అనేక రకాల వ్యూహాలను అమలు చేయడంతో పాటు, దాడి సన్నివేశాలు SIGNBT మాల్వేర్ను ప్రారంభించేందుకు మధ్యవర్తిగా పనిచేసే ఇన్-మెమరీ లోడర్ను ఉపయోగించాయి.
SIGNBT మాల్వేర్ అదనపు సూచనల కోసం C2 సర్వర్ని సంప్రదిస్తుంది
SIGNBT యొక్క ప్రాథమిక ఉద్దేశ్యం రిమోట్ సర్వర్తో కమ్యూనికేషన్ను ఏర్పాటు చేయడం మరియు సోకిన హోస్ట్లో అమలు చేయడానికి తదుపరి సూచనలను తిరిగి పొందడం. ఈ మాల్వేర్ దాని HTTP-ఆధారిత కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్లలో "SIGNBT"తో ప్రిఫిక్స్ చేయబడిన విభిన్న స్ట్రింగ్లను ఉపయోగించడం ద్వారా దాని పేరును సంపాదించింది:
- SIGNBTLG, ప్రారంభ కనెక్షన్ కోసం
- SIGNBTKE, C2 సర్వర్ నుండి విజయవంతమైన సందేశాన్ని స్వీకరించిన తర్వాత సిస్టమ్ మెటాడేటాను సేకరించడం కోసం
- SIGNBTGC, ఆదేశాలను పొందడం కోసం
- SIGNBTFI, కమ్యూనికేషన్ వైఫల్యాలను నిర్వహించడానికి
- SIGNBTSR, విజయవంతమైన కమ్యూనికేషన్ను సూచించడానికి
అదే సమయంలో, విండోస్ బ్యాక్డోర్ బాధితుడి సిస్టమ్పై నియంత్రణ సాధించే లక్ష్యంతో విస్తృత శ్రేణి సామర్థ్యాలను కలిగి ఉంది. ఈ సామర్థ్యాలలో ప్రాసెస్లను లెక్కించడం, ఫైల్ మరియు డైరెక్టరీ కార్యకలాపాలను నిర్వహించడం మరియు ఆధారాలను సంగ్రహించడం కోసం LPEClient మరియు ఇతర సాధనాల వంటి పేలోడ్లను అమలు చేయడం వంటివి ఉంటాయి.
లాజరస్ గ్రూప్ దాని సాంకేతికతలు మరియు మాల్వేర్ ఆర్సెనల్ను అభివృద్ధి చేయడం కొనసాగించింది
కేవలం 2023లో, పరిశోధకులు కనీసం మూడు విభిన్న లాజరస్ ప్రచారాలను గుర్తించారు. ఈ ప్రచారాలు వివిధ చొరబాటు పద్ధతులు మరియు సంక్రమణ విధానాలను ఉపయోగించాయి. అయినప్పటికీ, వారు చివరి దశ సురక్షితం కాని సాఫ్ట్వేర్ను అందించడానికి LPEClient మాల్వేర్ను స్థిరంగా ఉపయోగించారు.
గోపురం అని పిలువబడే ఇంప్లాంట్ను పరిచయం చేయడంలో ఈ ప్రచారాలలో ఒకటి కీలక పాత్ర పోషించింది. ఈ ఇంప్లాంట్ 3CX వాయిస్ మరియు వీడియో కాన్ఫరెన్సింగ్ సాఫ్ట్వేర్ యొక్క ట్యాంపర్డ్ వెర్షన్ను ఉపయోగించి క్రిప్టోకరెన్సీ కంపెనీలపై సైబర్టాక్లలో ఉపయోగించబడింది.
ఈ ఇటీవలి పరిశోధనలు కొనసాగుతున్న ఉత్తర కొరియా-లింక్డ్ సైబర్ కార్యకలాపాలకు ఉదాహరణగా నిలుస్తాయి మరియు లాజరస్ గ్రూప్ యొక్క నిరంతర అభివృద్ధి మరియు సాధనాలు, వ్యూహాలు మరియు సాంకేతికతల యొక్క ఆయుధాగారం యొక్క విస్తరణను నొక్కిచెప్పాయి. సమకాలీన సైబర్ సెక్యూరిటీ ల్యాండ్స్కేప్లో లాజరస్ గ్రూప్ చురుకైన మరియు అనుకూలమైన ముప్పు నటుడిగా మిగిలిపోయింది.
