Phần mềm độc hại SIGNBT

Nhóm Lazarus, có liên kết với Triều Tiên, được xác định là thủ phạm của một chiến dịch mạng gần đây. Trong hoạt động này, một nhà cung cấp phần mềm không xác định đã trở thành nạn nhân của một cuộc tấn công được tạo điều kiện bằng cách khai thác các lỗ hổng bảo mật nổi tiếng trong một phần mềm nổi bật. Một loạt các cuộc tấn công cuối cùng đã dẫn đến sự ra đời của các dòng phần mềm đe dọa, bao gồm cả SIGNBT.

Hơn nữa, những kẻ tấn công đã sử dụng một công cụ hack được công nhận rộng rãi thường được tác nhân đe dọa này sử dụng cho các hoạt động như lập hồ sơ nạn nhân tiềm năng và phân phối tải trọng. Công cụ này được gọi là LPEClient trong nỗ lực theo dõi.

Nhóm hacker APT (Mối đe dọa liên tục nâng cao) liên tục nhắm mục tiêu vào cùng một nạn nhân

Việc sử dụng phần mềm độc hại SIGNBT trong cuộc tấn công này cho thấy quy trình lây nhiễm nhiều mặt và sử dụng các kỹ thuật tiên tiến. Nhóm Lazarus vẫn kiên trì khai thác các lỗ hổng trong phần mềm của công ty mục tiêu nhằm mục đích xâm phạm các nhà phát triển phần mềm khác. Trong các hoạt động gần đây nhất của họ, một số nạn nhân đã được xác định vào giữa tháng 7 năm 2023.

Những nạn nhân này đã bị tấn công thông qua phần mềm bảo mật hợp pháp được thiết kế để mã hóa thông tin liên lạc trên web thông qua chứng chỉ kỹ thuật số. Tên của phần mềm không được tiết lộ và phương pháp chính xác mà nó được vũ khí hóa để phân phối SIGNBT vẫn chưa được tiết lộ.

Ngoài việc sử dụng một loạt chiến lược để thiết lập và duy trì chỗ đứng trên các hệ thống bị xâm nhập, các chuỗi tấn công còn sử dụng trình tải trong bộ nhớ đóng vai trò là đường dẫn để khởi chạy phần mềm độc hại SIGNBT.

Phần mềm độc hại SIGNBT liên hệ với máy chủ C2 để có hướng dẫn bổ sung

Mục đích chính của SIGNBT là thiết lập liên lạc với máy chủ từ xa và truy xuất thêm các hướng dẫn thực thi trên máy chủ bị nhiễm. Phần mềm độc hại này lấy tên từ việc sử dụng các chuỗi riêng biệt có tiền tố "SIGNBT" trong giao tiếp lệnh và kiểm soát (C2) dựa trên HTTP:

• SIGNBTLG, cho kết nối ban đầu
• SIGNBTKE, để thu thập siêu dữ liệu hệ thống khi nhận được thông báo THÀNH CÔNG từ máy chủ C2
• SIGNBTGC, để tìm nạp lệnh
• SIGNBTFI, để xử lý lỗi giao tiếp
• SIGNBTSR, để cho biết giao tiếp thành công

Trong khi đó, cửa hậu Windows được trang bị rất nhiều khả năng nhằm giành quyền kiểm soát hệ thống của nạn nhân. Các khả năng này bao gồm liệt kê các quy trình, thực hiện các thao tác trên tệp và thư mục cũng như triển khai các tải trọng như LPEClient và các công cụ khác để trích xuất thông tin xác thực.

Nhóm Lazarus tiếp tục phát triển kỹ thuật và kho phần mềm độc hại

Chỉ trong năm 2023, các nhà nghiên cứu đã xác định được ít nhất ba chiến dịch Lazarus riêng biệt. Các chiến dịch này sử dụng nhiều phương pháp xâm nhập và thủ tục lây nhiễm khác nhau. Tuy nhiên, họ liên tục sử dụng phần mềm độc hại LPEClient để cung cấp phần mềm không an toàn ở giai đoạn cuối.

Một trong những chiến dịch này đóng vai trò then chốt trong việc giới thiệu một loại thiết bị cấy ghép có tên Gopuram. Bộ cấy này được sử dụng trong các cuộc tấn công mạng nhắm vào các công ty tiền điện tử, sử dụng phiên bản giả mạo của phần mềm hội nghị truyền hình và thoại 3CX.

Những phát hiện gần đây này minh họa cho các hoạt động mạng đang diễn ra có liên quan đến Triều Tiên và nhấn mạnh sự phát triển và mở rộng liên tục của Tập đoàn Lazarus trong kho công cụ, chiến lược và kỹ thuật của họ. Tập đoàn Lazarus vẫn là một tác nhân đe dọa tích cực và có khả năng thích ứng trong bối cảnh an ninh mạng hiện đại.