SIGNBT มัลแวร์
กลุ่มลาซารัสซึ่งเกี่ยวข้องกับเกาหลีเหนือ ได้รับการระบุว่าเป็นผู้กระทำความผิดในการรณรงค์ทางไซเบอร์เมื่อเร็วๆ นี้ ในการดำเนินการนี้ ผู้จำหน่ายซอฟต์แวร์ที่ไม่ปรากฏชื่อตกเป็นเหยื่อของการโจมตีที่มีสาเหตุมาจากการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่รู้จักกันดีในซอฟต์แวร์ที่โดดเด่น การโจมตีหลายครั้งนำไปสู่การเปิดตัวตระกูลซอฟต์แวร์ที่เป็นอันตราย รวมถึง SIGNBT
นอกจากนี้ ผู้โจมตียังใช้เครื่องมือแฮ็กที่ได้รับการยอมรับอย่างกว้างขวางซึ่งโดยทั่วไปใช้โดยผู้คุกคามรายนี้สำหรับกิจกรรมต่างๆ เช่น การจัดทำโปรไฟล์ผู้ที่อาจเป็นเหยื่อ และการส่งน้ำหนักบรรทุก เครื่องมือนี้เรียกว่า LPEClient ในการติดตามความพยายาม
สารบัญ
กลุ่มแฮ็กเกอร์ APT (Advanced Persistent Threat) กำหนดเป้าหมายเหยื่อรายเดิมซ้ำแล้วซ้ำเล่า
การใช้มัลแวร์ SIGNBT ในการโจมตีครั้งนี้แสดงให้เห็นถึงกระบวนการติดไวรัสหลายแง่มุมและใช้เทคนิคขั้นสูง Lazarus Group ยืนหยัดในการใช้ประโยชน์จากช่องโหว่ภายในซอฟต์แวร์ของบริษัทเป้าหมาย โดยมีจุดประสงค์เพื่อประนีประนอมกับนักพัฒนาซอฟต์แวร์รายอื่นๆ ในกิจกรรมล่าสุดของพวกเขา มีการระบุตัวเหยื่อหลายรายเมื่อกลางเดือนกรกฎาคม 2023
เหยื่อเหล่านี้ถูกโจมตีผ่านซอฟต์แวร์รักษาความปลอดภัยที่ถูกกฎหมายซึ่งออกแบบมาเพื่อเข้ารหัสการสื่อสารทางเว็บผ่านใบรับรองดิจิทัล ชื่อของซอฟต์แวร์ไม่ได้รับการเปิดเผย และวิธีการที่ชัดเจนในการใช้อาวุธเพื่อแจกจ่าย SIGNBT ยังคงไม่เปิดเผย
นอกเหนือจากการใช้กลยุทธ์ต่างๆ เพื่อสร้างและรักษาฐานบนระบบที่ถูกบุกรุกแล้ว ลำดับการโจมตียังใช้ตัวโหลดในหน่วยความจำที่ทำหน้าที่เป็นช่องทางในการเปิดตัวมัลแวร์ SIGNBT
มัลแวร์ SIGNBT ติดต่อเซิร์ฟเวอร์ C2 เพื่อขอคำแนะนำเพิ่มเติม
วัตถุประสงค์หลักของ SIGNBT คือการสร้างการสื่อสารกับเซิร์ฟเวอร์ระยะไกลและรับคำแนะนำเพิ่มเติมสำหรับการดำเนินการบนโฮสต์ที่ติดไวรัส มัลแวร์นี้ได้ชื่อมาจากการใช้สตริงที่แตกต่างกันซึ่งขึ้นต้นด้วย "SIGNBT" ในการสื่อสารแบบคำสั่งและควบคุม (C2) ที่ใช้ HTTP:
- SIGNBTLG สำหรับการเชื่อมต่อครั้งแรก
- SIGNBTKE สำหรับการรวบรวมข้อมูลเมตาของระบบเมื่อได้รับข้อความ SUCCESS จากเซิร์ฟเวอร์ C2
- SIGNBTGC สำหรับการดึงคำสั่ง
- SIGNBTFI สำหรับการจัดการความล้มเหลวในการสื่อสาร
- SIGNBTSR เพื่อบ่งบอกถึงการสื่อสารที่ประสบความสำเร็จ
ในขณะเดียวกัน แบ็คดอร์ของ Windows ก็มีความสามารถมากมายที่มุ่งเป้าไปที่การควบคุมระบบของเหยื่อ ความสามารถเหล่านี้รวมถึงกระบวนการแจกแจง การดำเนินการกับไฟล์และไดเร็กทอรี และการปรับใช้เพย์โหลด เช่น LPEClient และเครื่องมืออื่นๆ สำหรับการแยกข้อมูลประจำตัว
Lazarus Group ยังคงพัฒนาเทคนิคและคลังมัลแวร์อย่างต่อเนื่อง
ในปี 2023 นักวิจัยได้ระบุแคมเปญ Lazarus ที่แตกต่างกันอย่างน้อยสามแคมเปญ แคมเปญเหล่านี้ใช้วิธีการบุกรุกและขั้นตอนการติดเชื้อที่หลากหลาย อย่างไรก็ตาม พวกเขาใช้มัลแวร์ LPEClient อย่างต่อเนื่องเพื่อส่งมอบซอฟต์แวร์ที่ไม่ปลอดภัยในขั้นตอนสุดท้าย
หนึ่งในแคมเปญเหล่านี้มีบทบาทสำคัญในการแนะนำอุปกรณ์ปลูกถ่ายที่เรียกว่า Gopuram การฝังนี้ใช้ในการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่บริษัทสกุลเงินดิจิทัล โดยใช้ซอฟต์แวร์การประชุมทางเสียงและวิดีโอ 3CX เวอร์ชันที่ถูกดัดแปลง
การค้นพบล่าสุดเหล่านี้เป็นตัวอย่างการดำเนินงานทางไซเบอร์ที่เชื่อมโยงกับเกาหลีเหนืออย่างต่อเนื่อง และตอกย้ำการพัฒนาและการขยายคลังเครื่องมือ กลยุทธ์ และเทคนิคอย่างต่อเนื่องของ Lazarus Group Lazarus Group ยังคงเป็นผู้แสดงภัยคุกคามที่กระตือรือร้นและปรับตัวได้ในภูมิทัศน์ความปลอดภัยทางไซเบอร์ร่วมสมัย