Malware SIGNBT collegato al gruppo nordcoreano Lazarus
Il gruppo Lazarus, associato alla Corea del Nord, è stato collegato a una recente campagna in cui un fornitore di software non divulgato è rimasto vittima di un attacco informatico attraverso lo sfruttamento di vulnerabilità di sicurezza note in un altro software ampiamente riconosciuto.
Gli esperti di sicurezza hanno stabilito che l'attacco è progredito attraverso varie fasi, determinando infine l'implementazione di famiglie di software dannosi come SIGNBT e LPEClient, un noto strumento di hacking utilizzato dall'autore della minaccia per profilare obiettivi e fornire payload dannosi.
Il ricercatore di sicurezza Seongsu Park ha notato che l'avversario ha mostrato un alto livello di sofisticatezza, utilizzando tecniche di evasione avanzate e introducendo il malware SIGNBT per controllare le vittime. Il malware SIGNBT utilizzato in questo attacco ha seguito una catena di infezione complessa e ha utilizzato metodi sofisticati.
SIGNBT implementato contro il fornitore di sicurezza informatica
Un fornitore russo di sicurezza informatica ha rivelato che la società responsabile del software sfruttato è stata presa di mira più volte dagli attacchi Lazarus, suggerendo un tentativo di rubare il codice sorgente o contaminare la catena di fornitura del software, simile all’attacco alla catena di fornitura 3CX. Secondo Park, il Gruppo Lazarus ha continuato a sfruttare le vulnerabilità del software dell'azienda, dando la caccia anche ad altri sviluppatori di software. Questa recente attività ha identificato diverse vittime a metà luglio 2023.
Queste vittime sono state prese di mira tramite un software di sicurezza legittimo progettato per crittografare le comunicazioni web utilizzando certificati digitali. Il nome di questo software non è stato divulgato e il metodo preciso utilizzato per utilizzarlo come arma per la distribuzione di SIGNBT rimane sconosciuto.
Oltre a impiegare diverse tattiche per stabilire e mantenere il controllo sui sistemi compromessi, le catene di attacco utilizzano un caricatore in-memory per facilitare il lancio del malware SIGNBT. La funzione principale di SIGNBT è stabilire una comunicazione con un server remoto e recuperare ulteriori istruzioni per l'esecuzione sull'host compromesso. Il malware prende il nome da stringhe univoche con il prefisso "SIGNBT" nelle sue comunicazioni di comando e controllo (C2) basate su HTTP.
La backdoor di Windows, invece, è dotata di numerose funzionalità per assumere il controllo del sistema della vittima. Ciò include attività come l'identificazione dei processi in esecuzione, la gestione di file e directory e la distribuzione di payload come LPEClient e altre utilità per l'estrazione delle credenziali.
