北朝鮮の Lazarus グループに関連する SIGNBT マルウェア
北朝鮮と関連のある Lazarus Group は、未公開のソフトウェア ベンダーが別の広く知られているソフトウェアの既知のセキュリティ脆弱性を悪用してサイバー攻撃の犠牲になった最近のキャンペーンに関与しているとされています。
セキュリティ専門家は、攻撃がさまざまな段階を経て進行し、最終的に SIGNBT や LPEClient などの悪意のあるソフトウェア ファミリの展開に至ったと判断しました。LPEClient は、脅威アクターがターゲットのプロファイリングや悪意のあるペイロードの配信に使用するよく知られたハッキング ツールです。
セキュリティ研究者の Seongsu Park 氏は、敵は高度な回避技術を利用し、被害者を制御するために SIGNBT マルウェアを導入するなど、高度な巧妙さを見せていたと指摘しました。この攻撃に使用された SIGNBT マルウェアは、複雑な感染チェーンをたどり、高度な手法を採用していました。
SIGNBT がサイバーセキュリティ ベンダーに対して展開される
ロシアのサイバーセキュリティベンダーは、悪用されたソフトウェアを担当する企業がLazarus攻撃の標的に何度もあったことを明らかにし、3CXサプライチェーン攻撃と同様に、ソースコードを盗んだり、ソフトウェアサプライチェーンを汚染したりする試みがあったことを示唆している。 Park氏によると、Lazarus Groupは同社ソフトウェアの脆弱性を悪用し続け、同時に他のソフトウェア開発者も追跡していたという。この最近の活動により、2023 年 7 月中旬の時点で複数の被害者が特定されています。
これらの被害者は、デジタル証明書を使用して Web 通信を暗号化するように設計された正規のセキュリティ ソフトウェアを通じて標的にされました。このソフトウェアの名前は明らかにされておらず、SIGNBT を配布するためにこのソフトウェアを兵器化するために使用された正確な方法は不明のままです。
攻撃チェーンは、侵害されたシステムの制御を確立および維持するためにさまざまな戦術を採用するほかに、メモリ内ローダーを使用して SIGNBT マルウェアの起動を促進します。 SIGNBT の主な機能は、リモート サーバーとの通信を確立し、侵害されたホスト上で実行するためのさらなる命令を取得することです。このマルウェアの名前は、HTTP ベースのコマンド アンド コントロール (C2) 通信で「SIGNBT」というプレフィックスが付いた一意の文字列に由来しています。
一方、Windows バックドアには、被害者のシステムを制御するための幅広い機能が装備されています。これには、実行中のプロセスの特定、ファイルとディレクトリの管理、資格情報を抽出するための LPEClient やその他のユーティリティなどのペイロードの展開などのタスクが含まれます。