Κακόβουλο λογισμικό SIGNBT που συνδέεται με τον όμιλο Lazarus της Βόρειας Κορέας
Ο Όμιλος Lazarus, που σχετίζεται με τη Βόρεια Κορέα, έχει συνδεθεί με μια πρόσφατη εκστρατεία όπου ένας άγνωστος πωλητής λογισμικού έπεσε θύμα κυβερνοεπίθεσης μέσω της εκμετάλλευσης γνωστών τρωτών σημείων ασφαλείας σε άλλο ευρέως αναγνωρισμένο λογισμικό.
Οι ειδικοί ασφαλείας έχουν διαπιστώσει ότι η επίθεση προχώρησε σε διάφορα στάδια, με αποτέλεσμα τελικά την ανάπτυξη οικογενειών κακόβουλου λογισμικού όπως το SIGNBT και το LPEClient, το οποίο είναι ένα πολύ γνωστό εργαλείο hacking που χρησιμοποιείται από τον παράγοντα απειλών για τη δημιουργία προφίλ στόχων και την παράδοση κακόβουλων ωφέλιμων φορτίων.
Ο ερευνητής ασφαλείας Seongsu Park σημείωσε ότι ο αντίπαλος επέδειξε υψηλό επίπεδο πολυπλοκότητας, χρησιμοποιώντας προηγμένες τεχνικές φοροδιαφυγής και εισάγοντας το κακόβουλο λογισμικό SIGNBT για τον έλεγχο των θυμάτων. Το κακόβουλο λογισμικό SIGNBT που χρησιμοποιήθηκε σε αυτήν την επίθεση ακολούθησε μια πολύπλοκη αλυσίδα μόλυνσης και χρησιμοποίησε εξελιγμένες μεθόδους.
Το SIGNBT αναπτύχθηκε κατά του προμηθευτή κυβερνοασφάλειας
Ένας Ρώσος προμηθευτής κυβερνοασφάλειας αποκάλυψε ότι η εταιρεία που είναι υπεύθυνη για το λογισμικό εκμετάλλευσης είχε στοχοποιηθεί πολλές φορές από επιθέσεις Lazarus, υποδηλώνοντας μια προσπάθεια κλοπής του πηγαίου κώδικα ή μόλυνσης της αλυσίδας εφοδιασμού λογισμικού, παρόμοια με την επίθεση της αλυσίδας εφοδιασμού 3CX. Ο Όμιλος Lazarus συνέχισε να εκμεταλλεύεται τρωτά σημεία στο λογισμικό της εταιρείας, ενώ παράλληλα ακολουθούσε άλλους προγραμματιστές λογισμικού, σύμφωνα με την Park. Αυτή η πρόσφατη δραστηριότητα έχει εντοπίσει αρκετά θύματα από τα μέσα Ιουλίου 2023.
Αυτά τα θύματα στοχοποιήθηκαν μέσω ενός νόμιμου λογισμικού ασφαλείας σχεδιασμένου να κρυπτογραφεί τις επικοινωνίες Ιστού χρησιμοποιώντας ψηφιακά πιστοποιητικά. Το όνομα αυτού του λογισμικού δεν αποκαλύφθηκε και η ακριβής μέθοδος που χρησιμοποιήθηκε για να οπλιστεί για τη διανομή του SIGNBT παραμένει άγνωστη.
Εκτός από τη χρήση ποικίλων τακτικών για την καθιέρωση και τη διατήρηση του ελέγχου σε παραβιασμένα συστήματα, οι αλυσίδες επίθεσης χρησιμοποιούν έναν φορτωτή στη μνήμη για να διευκολύνουν την εκκίνηση του κακόβουλου λογισμικού SIGNBT. Η κύρια λειτουργία του SIGNBT είναι να δημιουργεί επικοινωνία με έναν απομακρυσμένο διακομιστή και να ανακτά περαιτέρω οδηγίες για εκτέλεση στον παραβιασμένο κεντρικό υπολογιστή. Το κακόβουλο λογισμικό αντλεί το όνομά του από μοναδικές συμβολοσειρές με πρόθεμα "SIGNBT" στις επικοινωνίες εντολών και ελέγχου (C2) που βασίζονται σε HTTP.
Η κερκόπορτα των Windows, από την άλλη πλευρά, είναι εξοπλισμένη με ένα ευρύ φάσμα δυνατοτήτων για τον έλεγχο του συστήματος του θύματος. Αυτό περιλαμβάνει εργασίες όπως ο εντοπισμός εκτελούμενων διαδικασιών, η διαχείριση αρχείων και καταλόγων και η ανάπτυξη ωφέλιμων φορτίων όπως το LPEClient και άλλα βοηθητικά προγράμματα για την εξαγωγή διαπιστευτηρίων.
