SIGNBT Malware knyttet til den nordkoreanske Lazarus Group
Lazarus-gruppen, der er tilknyttet Nordkorea, er blevet sat i forbindelse med en nylig kampagne, hvor en uoplyst softwareleverandør blev offer for et cyberangreb gennem udnyttelse af kendte sikkerhedssårbarheder i en anden bredt anerkendt software.
Sikkerhedseksperter har fastslået, at angrebet udviklede sig gennem forskellige stadier, hvilket i sidste ende resulterede i implementeringen af ondsindede softwarefamilier som SIGNBT og LPEClient, som er et velkendt hackingværktøj, der bruges af trusselsaktøren til at profilere mål og levere ondsindede nyttelaster.
Sikkerhedsforsker Seongsu Park bemærkede, at modstanderen udviste et højt niveau af sofistikering, idet han brugte avancerede undvigelsesteknikker og introducerede SIGNBT-malwaren til at kontrollere ofrene. SIGNBT-malwaren, der blev brugt i dette angreb, fulgte en kompleks infektionskæde og anvendte sofistikerede metoder.
SIGNBT indsat mod leverandør af cybersikkerhed
En russisk cybersikkerhedsleverandør afslørede, at virksomheden, der er ansvarlig for den udnyttede software, var blevet målrettet af Lazarus-angreb flere gange, hvilket tyder på et forsøg på at stjæle kildekode eller forurene softwareforsyningskæden, svarende til 3CX-forsyningskædeangrebet. Lazarus Group fortsatte med at udnytte sårbarheder i virksomhedens software, mens de også gik efter andre softwareudviklere, ifølge Park. Denne seneste aktivitet har identificeret adskillige ofre i midten af juli 2023.
Disse ofre blev målrettet gennem en legitim sikkerhedssoftware designet til at kryptere internetkommunikation ved hjælp af digitale certifikater. Navnet på denne software blev ikke afsløret, og den præcise metode, der blev brugt til at bevæbne den til at distribuere SIGNBT, er stadig ukendt.
Udover at anvende forskellige taktikker til at etablere og bevare kontrol over kompromitterede systemer, bruger angrebskæderne en hukommelsesindlæser til at lette lanceringen af SIGNBT-malwaren. SIGNBTs primære funktion er at etablere kommunikation med en ekstern server og hente yderligere instruktioner til udførelse på den kompromitterede vært. Malwaren får sit navn fra unikke strenge med "SIGNBT" foran i dens HTTP-baserede kommando-og-kontrol-kommunikation (C2).
Windows-bagdøren er på den anden side udstyret med en bred vifte af muligheder til at tage kontrol over ofrets system. Dette inkluderer opgaver som at identificere kørende processer, administrere filer og mapper og implementere nyttelaster såsom LPEClient og andre hjælpeprogrammer til at udtrække legitimationsoplysninger.