Шкідливе програмне забезпечення SIGNBT
Групу Lazarus, яку пов'язують з Північною Кореєю, визнали виконавцем недавньої кіберкампанії. Під час цієї операції невідомий постачальник програмного забезпечення став жертвою атаки, спричиненої використанням добре відомих уразливостей безпеки відомого програмного забезпечення. Серія атак зрештою призвела до появи загрозливих програмних сімейств, зокрема SIGNBT.
Крім того, зловмисники використовували широко відомий інструмент злому, який зазвичай використовує цей загрозливий актор для таких дій, як профілювання потенційних жертв і доставка корисного навантаження. Під час відстеження цей інструмент називається LPEClient.
Зміст
Група хакерів APT (Advanced Persistent Threat) неодноразово націлювалася на одну й ту саму жертву
Використання зловмисного програмного забезпечення SIGNBT у цій атаці продемонструвало багатогранний процес зараження та використання передових методів. Група Lazarus наполегливо використовувала вразливості в програмному забезпеченні цільової компанії з метою скомпрометувати інших розробників програмного забезпечення. У їхній останній діяльності станом на середину липня 2023 року ідентифіковано кількох жертв.
Ці жертви були піддані атаці через законне програмне забезпечення безпеки, розроблене для шифрування веб-зв’язку за допомогою цифрових сертифікатів. Назва програмного забезпечення не розголошується, і точний метод, за допомогою якого воно було використано для розповсюдження SIGNBT, залишається нерозкритим.
На додаток до використання ряду стратегій для встановлення та підтримки опору на зламаних системах, послідовності атак використовували завантажувач у пам’яті, який служив каналом для запуску шкідливого програмного забезпечення SIGNBT.
Зловмисне програмне забезпечення SIGNBT зв’язується з сервером C2 для отримання додаткових інструкцій
Основною метою SIGNBT є встановлення зв’язку з віддаленим сервером і отримання подальших інструкцій для виконання на зараженому хості. Це зловмисне програмне забезпечення отримало свою назву завдяки використанню окремих рядків із префіксом «SIGNBT» у зв’язку команд і керування (C2) на основі HTTP:
- SIGNBTLG, для початкового підключення
- SIGNBTKE для збору системних метаданих після отримання повідомлення SUCCESS від сервера C2
- SIGNBTGC, для отримання команд
- SIGNBTFI, для обробки збоїв зв’язку
- SIGNBTSR, для позначення успішного спілкування
Тим часом бекдор Windows оснащений широким набором можливостей, спрямованих на отримання контролю над системою жертви. Ці можливості включають перерахування процесів, виконання операцій з файлами та каталогами та розгортання корисних навантажень, таких як LPEClient та інші інструменти для отримання облікових даних.
Група Lazarus продовжує розвивати свої технології та арсенал шкідливих програм
Лише у 2023 році дослідники визначили щонайменше три різні кампанії Лазаря. Ці кампанії використовували різні методи вторгнення та процедури зараження. Однак вони постійно використовували зловмисне програмне забезпечення LPEClient для доставки небезпечного програмного забезпечення на останньому етапі.
Одна з цих кампаній зіграла вирішальну роль у впровадженні імплантату, відомого як Гопурам. Цей імплантат був використаний для кібератак, спрямованих на криптовалютні компанії, з використанням підробленої версії програмного забезпечення для голосових і відеоконференцій 3CX.
Ці нещодавні відкриття є прикладом поточних кібероперацій, пов’язаних з Північною Кореєю, і підкреслюють постійний розвиток і розширення арсеналу інструментів, стратегій і методів Lazarus Group. Група Lazarus залишається активною та адаптивною дійовою особою, яка бореться із загрозами в сучасному ландшафті кібербезпеки.
