SIGNBT 恶意软件

翻译为：

与朝鲜有联系的拉撒路集团已被确定为最近一次网络活动的肇事者。在这次行动中，一名身份不明的软件供应商成为利用知名软件中众所周知的安全漏洞发起的攻击的受害者。这一系列攻击最终导致了包括 SIGNBT 在内的威胁软件系列的引入。

此外，攻击者还利用该威胁行为者常用的广泛认可的黑客工具来进行诸如分析潜在受害者和传递有效负载等活动。该工具在跟踪工作中被称为 LPEClient。

此次攻击中使用的 SIGNBT 恶意软件展示了多方面的感染过程并采用了先进的技术。 Lazarus 集团坚持利用目标公司软件中的漏洞，目的是危害其他软件开发商。截至 2023 年 7 月中旬，在他们最近的活动中，已确认了几名受害者的身份。

这些受害者受到了合法安全软件的攻击，这些软件旨在通过数字证书加密网络通信。该软件的名称并未公开，其武器化分发 SIGNBT 的具体方法也未公开。

除了采用一系列策略在受感染的系统上建立和维护立足点之外，攻击序列还采用了内存加载程序作为启动 SIGNBT 恶意软件的渠道。

SIGNBT 的主要目的是与远程服务器建立通信并检索进一步的指令以在受感染的主机上执行。该恶意软件因其在基于 HTTP 的命令和控制 (C2) 通信中使用前缀为“SIGNBT”的不同字符串而得名：

同时，Windows 后门具有多种功能，旨在获得对受害者系统的控制权。这些功能包括枚举进程、执行文件和目录操作以及部署 LPEClient 等有效负载和其他用于提取凭据的工具。

就在 2023 年，研究人员至少发现了三起不同的 Lazarus 活动。这些活动采用了各种入侵方法和感染程序。然而，他们始终利用 LPEClient 恶意软件来提供最终阶段的不安全软件。

其中一项活动在引入名为 Gopuram 的植入物方面发挥了关键作用。该植入程序被用于针对加密货币公司的网络攻击，使用的是 3CX 语音和视频会议软件的篡改版本。

这些最新发现体现了正在进行的与朝鲜有关的网络行动，并强调了拉撒路集团不断开发和扩展其工具、战略和技术库。在当代网络安全领域，拉撒路集团仍然是一个活跃且适应性强的威胁参与者。

搜索