SIGNBT Malware
Ang Lazarus Group, na nauugnay sa North Korea, ay kinilala bilang ang may kasalanan ng isang kamakailang kampanya sa cyber. Sa operasyong ito, isang hindi kilalang software vendor ang naging biktima ng isang pag-atake na pinadali ng pagsasamantala sa mga kilalang kahinaan sa seguridad sa isang kilalang software. Ang serye ng mga pag-atake sa huli ay humantong sa pagpapakilala ng mga nagbabantang pamilya ng software, kabilang ang SIGNBT.
Higit pa rito, ginamit ng mga umaatake ang isang malawak na kinikilalang tool sa pag-hack na karaniwang ginagamit ng banta ng aktor na ito para sa mga aktibidad tulad ng pag-profile sa mga potensyal na biktima at paghahatid ng mga payload. Ang tool na ito ay tinutukoy bilang LPEClient sa mga pagsisikap sa pagsubaybay.
Talaan ng mga Nilalaman
Ang APT (Advanced Persistent Threat) Hacker Group ay Paulit-ulit na Tinatarget ang Parehong Biktima
Ang paggamit ng SIGNBT malware sa pag-atakeng ito ay nagpakita ng maraming paraan ng impeksyon at gumamit ng mga advanced na diskarte. Ang Lazarus Group ay nagpatuloy sa pagsasamantala sa mga kahinaan sa loob ng software ng target na kumpanya na may layuning ikompromiso ang iba pang mga developer ng software. Sa kanilang pinakahuling aktibidad, ilang biktima ang natukoy noong kalagitnaan ng Hulyo 2023.
Ang mga biktimang ito ay sumailalim sa isang pag-atake sa pamamagitan ng lehitimong software ng seguridad na idinisenyo para sa pag-encrypt ng mga komunikasyon sa web sa pamamagitan ng mga digital na sertipiko. Ang pangalan ng software ay hindi isiniwalat, at ang tumpak na paraan kung saan ito ginawang armas upang ipamahagi ang SIGNBT ay nananatiling hindi isiniwalat.
Bilang karagdagan sa paggamit ng isang hanay ng mga diskarte upang magtatag at mapanatili ang isang foothold sa mga nakompromisong system, ang mga sequence ng pag-atake ay gumamit ng isang in-memory loader na nagsilbing conduit para sa paglulunsad ng SIGNBT malware.
Nakikipag-ugnayan ang SIGNBT Malware sa isang C2 Server para sa Mga Karagdagang Tagubilin
Ang pangunahing layunin ng SIGNBT ay magtatag ng komunikasyon sa isang malayuang server at kumuha ng karagdagang mga tagubilin para sa pagpapatupad sa nahawaang host. Nakukuha ng malware na ito ang pangalan nito mula sa paggamit nito ng mga natatanging string na may prefix na "SIGNBT" sa mga komunikasyong command-and-control (C2) na nakabatay sa HTTP:
- SIGNBTLG, para sa paunang koneksyon
- SIGNBTKE, para sa pagkolekta ng metadata ng system sa pagtanggap ng SUCCESS message mula sa C2 server
- SIGNBTGC, para sa pagkuha ng mga utos
- SIGNBTFI, para sa paghawak ng mga pagkabigo sa komunikasyon
- SIGNBTSR, para sa pagpahiwatig ng matagumpay na komunikasyon
Samantala, ang backdoor ng Windows ay nilagyan ng malawak na hanay ng mga kakayahan na naglalayong makakuha ng kontrol sa sistema ng biktima. Kasama sa mga kakayahan na ito ang pag-enumerate ng mga proseso, pagsasagawa ng file at directory operations, at pag-deploy ng mga payload tulad ng LPEClient at iba pang tool para sa pagkuha ng mga kredensyal.
Patuloy na Binabago ng Lazarus Group ang Mga Teknik at Malware Arsenal nito
Noong 2023 pa lang, natukoy ng mga mananaliksik ang hindi bababa sa tatlong natatanging kampanya ng Lazarus. Gumamit ang mga kampanyang ito ng iba't ibang paraan ng panghihimasok at mga pamamaraan ng impeksyon. Gayunpaman, palagi nilang ginagamit ang malware ng LPEClient upang maihatid ang hindi ligtas na software sa huling yugto.
Ang isa sa mga kampanyang ito ay may mahalagang papel sa pagpapakilala ng isang implant na kilala bilang Gopuram. Ang implant na ito ay ginamit sa cyberattacks na nakadirekta sa mga kumpanya ng cryptocurrency, gamit ang isang tampered na bersyon ng 3CX voice at video conferencing software.
Ang mga kamakailang natuklasan na ito ay nagpapakita ng mga patuloy na operasyon sa cyber na nauugnay sa North Korean at binibigyang-diin ang patuloy na pag-unlad at pagpapalawak ng Lazarus Group ng arsenal ng mga tool, estratehiya, at diskarte nito. Ang Lazarus Group ay nananatiling isang aktibo at madaling ibagay na aktor ng pagbabanta sa kontemporaryong landscape ng cybersecurity.
