SIGNBT skadelig programvare knyttet til den nordkoreanske Lazarus Group

Lazarus Group, tilknyttet Nord-Korea, har blitt koblet til en nylig kampanje der en ikke avslørt programvareleverandør ble offer for et nettangrep gjennom utnyttelse av kjente sikkerhetssårbarheter i en annen allment anerkjent programvare.

Sikkerhetseksperter har fastslått at angrepet gikk gjennom ulike stadier, noe som til slutt resulterte i distribusjon av ondsinnede programvarefamilier som SIGNBT og LPEClient, som er et velkjent hackingverktøy som brukes av trusselaktøren for å profilere mål og levere ondsinnede nyttelaster.

Sikkerhetsforsker Seongsu Park bemerket at motstanderen viste et høyt nivå av sofistikering, ved å bruke avanserte unnvikelsesteknikker og introduserte SIGNBT-malware for å kontrollere ofrene. SIGNBT-malwaren som ble brukt i dette angrepet fulgte en kompleks infeksjonskjede og brukte sofistikerte metoder.

SIGNBT utplassert mot leverandør av nettsikkerhet

En russisk leverandør av nettsikkerhet avslørte at selskapet som var ansvarlig for den utnyttede programvaren hadde blitt målrettet av Lazarus-angrep flere ganger, noe som antydet et forsøk på å stjele kildekode eller forurense programvareforsyningskjeden, lik 3CX-forsyningskjedeangrepet. Lazarus Group fortsatte å utnytte sårbarheter i selskapets programvare mens de også gikk etter andre programvareutviklere, ifølge Park. Denne nylige aktiviteten har identifisert flere ofre i midten av juli 2023.

Disse ofrene ble målrettet gjennom en legitim sikkerhetsprogramvare designet for å kryptere nettkommunikasjon ved hjelp av digitale sertifikater. Navnet på denne programvaren ble ikke avslørt, og den nøyaktige metoden som ble brukt for å bevæpne den for å distribuere SIGNBT er fortsatt ukjent.

Bortsett fra å bruke forskjellige taktikker for å etablere og opprettholde kontroll over kompromitterte systemer, bruker angrepskjedene en minneinnlasting for å lette lanseringen av SIGNBT-malware. SIGNBTs primære funksjon er å etablere kommunikasjon med en ekstern server og hente ytterligere instruksjoner for kjøring på den kompromitterte verten. Skadevaren henter navnet sitt fra unike strenger prefiksert med "SIGNBT" i sin HTTP-baserte kommando-og-kontroll (C2) kommunikasjon.

Windows-bakdøren, derimot, er utstyrt med et bredt spekter av muligheter for å ta kontroll over offerets system. Dette inkluderer oppgaver som å identifisere kjørende prosesser, administrere filer og kataloger, og distribuere nyttelaster som LPEClient og andre verktøy for å trekke ut legitimasjon.