SIGNBT มัลแวร์

กลุ่มลาซารัสซึ่งเกี่ยวข้องกับเกาหลีเหนือ ได้รับการระบุว่าเป็นผู้กระทำความผิดในการรณรงค์ทางไซเบอร์เมื่อเร็วๆ นี้ ในการดำเนินการนี้ ผู้จำหน่ายซอฟต์แวร์ที่ไม่ปรากฏชื่อตกเป็นเหยื่อของการโจมตีที่มีสาเหตุมาจากการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่รู้จักกันดีในซอฟต์แวร์ที่โดดเด่น การโจมตีหลายครั้งนำไปสู่การเปิดตัวตระกูลซอฟต์แวร์ที่เป็นอันตราย รวมถึง SIGNBT

นอกจากนี้ ผู้โจมตียังใช้เครื่องมือแฮ็กที่ได้รับการยอมรับอย่างกว้างขวางซึ่งโดยทั่วไปใช้โดยผู้คุกคามรายนี้สำหรับกิจกรรมต่างๆ เช่น การจัดทำโปรไฟล์ผู้ที่อาจเป็นเหยื่อ และการส่งน้ำหนักบรรทุก เครื่องมือนี้เรียกว่า LPEClient ในการติดตามความพยายาม

กลุ่มแฮ็กเกอร์ APT (Advanced Persistent Threat) กำหนดเป้าหมายเหยื่อรายเดิมซ้ำแล้วซ้ำเล่า

การใช้มัลแวร์ SIGNBT ในการโจมตีครั้งนี้แสดงให้เห็นถึงกระบวนการติดไวรัสหลายแง่มุมและใช้เทคนิคขั้นสูง Lazarus Group ยืนหยัดในการใช้ประโยชน์จากช่องโหว่ภายในซอฟต์แวร์ของบริษัทเป้าหมาย โดยมีจุดประสงค์เพื่อประนีประนอมกับนักพัฒนาซอฟต์แวร์รายอื่นๆ ในกิจกรรมล่าสุดของพวกเขา มีการระบุตัวเหยื่อหลายรายเมื่อกลางเดือนกรกฎาคม 2023

เหยื่อเหล่านี้ถูกโจมตีผ่านซอฟต์แวร์รักษาความปลอดภัยที่ถูกกฎหมายซึ่งออกแบบมาเพื่อเข้ารหัสการสื่อสารทางเว็บผ่านใบรับรองดิจิทัล ชื่อของซอฟต์แวร์ไม่ได้รับการเปิดเผย และวิธีการที่ชัดเจนในการใช้อาวุธเพื่อแจกจ่าย SIGNBT ยังคงไม่เปิดเผย

นอกเหนือจากการใช้กลยุทธ์ต่างๆ เพื่อสร้างและรักษาฐานบนระบบที่ถูกบุกรุกแล้ว ลำดับการโจมตียังใช้ตัวโหลดในหน่วยความจำที่ทำหน้าที่เป็นช่องทางในการเปิดตัวมัลแวร์ SIGNBT

มัลแวร์ SIGNBT ติดต่อเซิร์ฟเวอร์ C2 เพื่อขอคำแนะนำเพิ่มเติม

วัตถุประสงค์หลักของ SIGNBT คือการสร้างการสื่อสารกับเซิร์ฟเวอร์ระยะไกลและรับคำแนะนำเพิ่มเติมสำหรับการดำเนินการบนโฮสต์ที่ติดไวรัส มัลแวร์นี้ได้ชื่อมาจากการใช้สตริงที่แตกต่างกันซึ่งขึ้นต้นด้วย "SIGNBT" ในการสื่อสารแบบคำสั่งและควบคุม (C2) ที่ใช้ HTTP:

• SIGNBTLG สำหรับการเชื่อมต่อครั้งแรก
• SIGNBTKE สำหรับการรวบรวมข้อมูลเมตาของระบบเมื่อได้รับข้อความ SUCCESS จากเซิร์ฟเวอร์ C2
• SIGNBTGC สำหรับการดึงคำสั่ง
• SIGNBTFI สำหรับการจัดการความล้มเหลวในการสื่อสาร
• SIGNBTSR เพื่อบ่งบอกถึงการสื่อสารที่ประสบความสำเร็จ

ในขณะเดียวกัน แบ็คดอร์ของ Windows ก็มีความสามารถมากมายที่มุ่งเป้าไปที่การควบคุมระบบของเหยื่อ ความสามารถเหล่านี้รวมถึงกระบวนการแจกแจง การดำเนินการกับไฟล์และไดเร็กทอรี และการปรับใช้เพย์โหลด เช่น LPEClient และเครื่องมืออื่นๆ สำหรับการแยกข้อมูลประจำตัว

Lazarus Group ยังคงพัฒนาเทคนิคและคลังมัลแวร์อย่างต่อเนื่อง

ในปี 2023 นักวิจัยได้ระบุแคมเปญ Lazarus ที่แตกต่างกันอย่างน้อยสามแคมเปญ แคมเปญเหล่านี้ใช้วิธีการบุกรุกและขั้นตอนการติดเชื้อที่หลากหลาย อย่างไรก็ตาม พวกเขาใช้มัลแวร์ LPEClient อย่างต่อเนื่องเพื่อส่งมอบซอฟต์แวร์ที่ไม่ปลอดภัยในขั้นตอนสุดท้าย

หนึ่งในแคมเปญเหล่านี้มีบทบาทสำคัญในการแนะนำอุปกรณ์ปลูกถ่ายที่เรียกว่า Gopuram การฝังนี้ใช้ในการโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่บริษัทสกุลเงินดิจิทัล โดยใช้ซอฟต์แวร์การประชุมทางเสียงและวิดีโอ 3CX เวอร์ชันที่ถูกดัดแปลง

การค้นพบล่าสุดเหล่านี้เป็นตัวอย่างการดำเนินงานทางไซเบอร์ที่เชื่อมโยงกับเกาหลีเหนืออย่างต่อเนื่อง และตอกย้ำการพัฒนาและการขยายคลังเครื่องมือ กลยุทธ์ และเทคนิคอย่างต่อเนื่องของ Lazarus Group Lazarus Group ยังคงเป็นผู้แสดงภัยคุกคามที่กระตือรือร้นและปรับตัวได้ในภูมิทัศน์ความปลอดภัยทางไซเบอร์ร่วมสมัย