SIGNBT kenkėjiška programa, susieta su Šiaurės Korėjos „Lazarus Group“.

„Lazarus Group“, siejama su Šiaurės Korėja, buvo siejama su neseniai vykusia kampanija, kurios metu neatskleistas programinės įrangos pardavėjas tapo kibernetinės atakos auka, išnaudodamas žinomus kitos plačiai pripažintos programinės įrangos saugumo spragas.

Saugumo ekspertai nustatė, kad ataka vyko įvairiais etapais ir galiausiai buvo įdiegtos kenkėjiškos programinės įrangos šeimos, tokios kaip SIGNBT ir LPEClient, kuri yra gerai žinomas įsilaužimo įrankis, kurį grėsmės veikėjas naudoja taikiniams profiliuoti ir kenksmingiems kroviniams pristatyti.

Saugumo tyrinėtojas Seongsu Parkas pažymėjo, kad priešas demonstravo aukštą rafinuotumo lygį, naudodamas pažangias vengimo technologijas ir įdiegdamas SIGNBT kenkėjišką programinę įrangą, skirtą aukoms kontroliuoti. Šioje atakoje naudojama SIGNBT kenkėjiška programa sekė sudėtingą užkrėtimo grandinę ir taikė sudėtingus metodus.

SIGNBT įdiegtas prieš kibernetinio saugumo tiekėją

Rusijos kibernetinio saugumo pardavėjas atskleidė, kad įmonė, atsakinga už išnaudojamą programinę įrangą, kelis kartus buvo nukreipta į Lazarus atakas, o tai rodo pastangas pavogti šaltinio kodą arba užteršti programinės įrangos tiekimo grandinę, panašiai kaip 3CX tiekimo grandinės ataka. Parko teigimu, „Lazarus Group“ ir toliau išnaudojo bendrovės programinės įrangos pažeidžiamumą, taip pat sekdama kitus programinės įrangos kūrėjus. Ši neseniai atlikta veikla 2023 m. liepos viduryje nustatė keletą aukų.

Šios aukos buvo nukreiptos per teisėtą saugos programinę įrangą, skirtą šifruoti žiniatinklio ryšius naudojant skaitmeninius sertifikatus. Šios programinės įrangos pavadinimas nebuvo atskleistas, o tikslus metodas, naudojamas siekiant ją platinti SIGNBT, lieka nežinomas.

Atakų grandinės naudoja ne tik įvairią taktiką, kad sukurtų ir išlaikytų pažeistų sistemų kontrolę, bet ir naudoja atmintyje esantį įkroviklį, kad palengvintų SIGNBT kenkėjiškos programos paleidimą. Pagrindinė SIGNBT funkcija yra užmegzti ryšį su nuotoliniu serveriu ir gauti tolesnes vykdymo instrukcijas pažeistame pagrindiniame kompiuteryje. Kenkėjiškos programos pavadinimas kilęs iš unikalių eilučių su priešdėliu "SIGNBT" HTTP pagrindu veikiančiuose komandų ir valdymo (C2) ryšiuose.

Kita vertus, „Windows“ užpakalinės durys turi daugybę galimybių, leidžiančių perimti aukos sistemos valdymą. Tai apima tokias užduotis kaip vykdomų procesų identifikavimas, failų ir katalogų tvarkymas ir naudingų krovinių, pvz., LPEClient, ir kitų kredencialų ištraukimo paslaugų diegimas.