SIGNBT rosszindulatú program, amely az észak-koreai Lazarus csoporthoz kapcsolódik

Az Észak-Koreához köthető Lazarus csoportot egy közelmúltbeli kampányhoz hozták összefüggésbe, ahol egy ismeretlen szoftvergyártó kibertámadás áldozata lett egy másik, széles körben elismert szoftver ismert biztonsági réseinek kihasználása révén.

Biztonsági szakértők megállapították, hogy a támadás több szakaszon keresztül haladt, és végül olyan rosszindulatú szoftvercsaládok telepítéséhez vezetett, mint a SIGNBT és az LPEClient, amely egy jól ismert hackereszköz, amelyet a fenyegető szereplő a célpontok profilálására és rosszindulatú rakományok szállítására használ.

Seongsu Park biztonsági kutató megjegyezte, hogy az ellenfél magas szintű kifinomultságot mutatott, fejlett kijátszási technikákat használt, és bevezette a SIGNBT kártevőt az áldozatok ellenőrzésére. A támadás során használt SIGNBT kártevő bonyolult fertőzési láncot követett, és kifinomult módszereket alkalmazott.

A SIGNBT a kiberbiztonsági szállító ellen telepítve

Egy orosz kiberbiztonsági szállító felfedte, hogy a kihasznált szoftverért felelős vállalatot többször is Lazarus támadások célozták, ami arra utal, hogy a 3CX ellátási lánc támadáshoz hasonlóan forráskódot akartak ellopni vagy a szoftver ellátási láncát beszennyezni. Park szerint a Lazarus Group továbbra is kihasználta a vállalat szoftvereinek sebezhetőségeit, miközben más szoftverfejlesztőket is keresett. Ez a közelmúltbeli tevékenység 2023. július közepéig több áldozatot azonosított.

Ezeket az áldozatokat egy legitim biztonsági szoftveren keresztül célozták meg, amelyet arra terveztek, hogy digitális tanúsítványokkal titkosítsa a webes kommunikációt. Ennek a szoftvernek a nevét nem hozták nyilvánosságra, és a SIGNBT terjesztéséhez használt pontos módszer is ismeretlen.

Amellett, hogy különféle taktikákat alkalmaznak a kompromittált rendszerek feletti ellenőrzés létrehozására és fenntartására, a támadási láncok egy memórián belüli betöltőt használnak a SIGNBT rosszindulatú program elindításának elősegítésére. A SIGNBT elsődleges feladata, hogy kommunikációt létesítsen egy távoli szerverrel, és további utasításokat kérjen le a végrehajtáshoz a feltört gazdagépen. A rosszindulatú program nevét a HTTP-alapú parancs- és vezérlési (C2) kommunikációjában a "SIGNBT" előtaggal ellátott egyedi karakterláncokból kapta.

A Windows hátsó ajtója viszont a képességek széles skálájával van felszerelve, hogy átvegye az irányítást az áldozat rendszere felett. Ez magában foglalja az olyan feladatokat, mint a futó folyamatok azonosítása, a fájlok és könyvtárak kezelése, valamint a hasznos adatok, például az LPEClient és más segédprogramok telepítése a hitelesítési adatok kinyerésére.