SIGNBT 惡意軟體

翻譯為：

與北韓有聯繫的拉撒路集團已被確定為最近一次網路活動的肇事者。在這次行動中，一名身份不明的軟體供應商成為利用知名軟體中眾所周知的安全漏洞發動的攻擊的受害者。這一系列攻擊最終導致了包括 SIGNBT 在內的威脅軟體系列的引入。

此外，攻擊者還利用該威脅行為者常用的廣泛認可的駭客工具來進行諸如分析潛在受害者和傳遞有效負載等活動。該工具在追蹤工作中被稱為 LPEClient。

此次攻擊中使用的 SIGNBT 惡意軟體展示了多方面的感染過程並採用了先進的技術。 Lazarus 集團堅持利用目標公司軟體中的漏洞，目的是危害其他軟體開發商。截至 2023 年 7 月中旬，在他們最近的活動中，已確認了幾名受害者的身分。

這些受害者受到了合法安全軟體的攻擊，這些軟體旨在透過數位證書加密網路通訊。該軟體的名稱並未公開，其武器化分發 SIGNBT 的具體方法也未公開。

除了採用一系列策略在受感染的系統上建立和維護立足點之外，攻擊序列還採用了記憶體載入程式作為啟動 SIGNBT 惡意軟體的管道。

SIGNBT 的主要目的是與遠端伺服器建立通訊並檢索進一步的指令以在受感染的主機上執行。該惡意軟體因其在基於 HTTP 的命令和控制 (C2) 通訊中使用前綴為「SIGNBT」的不同字串而得名：

同時，Windows 後門具有多種功能，旨在獲得對受害者係統的控制權。這些功能包括枚舉進程、執行檔和目錄操作以及部署 LPEClient 等有效負載和其他用於提取憑證的工具。

就在 2023 年，研究人員至少發現了三起不同的 Lazarus 活動。這些活動採用了各種入侵方法和感染程序。然而，他們始終利用 LPEClient 惡意軟體來提供最終階段的不安全軟體。

其中一項活動在引入名為 Gopuram 的植入物方面發揮了關鍵作用。該植入程式被用於針對加密貨幣公司的網路攻擊，使用的是 3CX 語音和視訊會議軟體的篡改版本。

這些最新發現體現了正在進行的與北韓有關的網路行動，並強調了拉撒路集團不斷開發和擴展其工具、戰略和技術庫。在當代網路安全領域，拉撒路集團仍然是個活躍且適應性強的威脅參與者。

搜索