Złośliwe oprogramowanie SIGNBT powiązane z północnokoreańską grupą Lazarus

Grupę Lazarus powiązaną z Koreą Północną powiązano z niedawną kampanią, w ramach której nieujawniony dostawca oprogramowania padł ofiarą cyberataku polegającego na wykorzystaniu znanych luk w zabezpieczeniach innego powszechnie uznanego oprogramowania.

Eksperci ds. bezpieczeństwa ustalili, że atak przebiegał na różnych etapach, ostatecznie doprowadzając do wdrożenia rodzin szkodliwego oprogramowania, takich jak SIGNBT i LPEClient, które są dobrze znanym narzędziem hakerskim wykorzystywanym przez osobę stwarzającą zagrożenie do profilowania celów i dostarczania szkodliwych ładunków.

Badacz bezpieczeństwa Seongsu Park zauważył, że przeciwnik wykazał się wysokim poziomem wyrafinowania, wykorzystując zaawansowane techniki unikania zagrożeń i wprowadzając szkodliwe oprogramowanie SIGNBT w celu kontrolowania ofiar. Szkodliwe oprogramowanie SIGNBT wykorzystane w tym ataku podlegało złożonemu łańcuchowi infekcji i stosowało wyrafinowane metody.

SIGNBT wdrożony u dostawcy cyberbezpieczeństwa

Rosyjski dostawca cyberbezpieczeństwa ujawnił, że firma odpowiedzialna za wykorzystywane oprogramowanie była wielokrotnie celem ataków Lazarus, co sugeruje próbę kradzieży kodu źródłowego lub skażenia łańcucha dostaw oprogramowania, podobnie jak w przypadku ataku 3CX na łańcuch dostaw. Według Parka grupa Lazarus w dalszym ciągu wykorzystywała luki w oprogramowaniu firmy, jednocześnie ścigając innych twórców oprogramowania. W wyniku tego niedawnego działania (według stanu na połowę lipca 2023 r.) zidentyfikowano kilka ofiar.

Celem tych ofiar było legalne oprogramowanie zabezpieczające zaprojektowane do szyfrowania komunikacji internetowej przy użyciu certyfikatów cyfrowych. Nazwa tego oprogramowania nie została ujawniona, a dokładna metoda użyta do jego uzbrojenia w celu dystrybucji SIGNBT pozostaje nieznana.

Oprócz stosowania różnorodnych taktyk w celu ustanowienia i utrzymania kontroli nad zaatakowanymi systemami, łańcuchy ataków korzystają z modułu ładującego znajdującego się w pamięci, aby ułatwić uruchomienie szkodliwego oprogramowania SIGNBT. Podstawową funkcją SIGNBT jest nawiązanie komunikacji ze zdalnym serwerem i pobranie dalszych instrukcji do wykonania na zaatakowanym hoście. Szkodnik wywodzi swoją nazwę od unikalnych ciągów znaków poprzedzonych przedrostkiem „SIGNBT” w komunikacji typu dowodzenia i kontroli (C2) opartej na protokole HTTP.

Z kolei backdoor systemu Windows wyposażony jest w szeroki wachlarz możliwości umożliwiających przejęcie kontroli nad systemem ofiary. Obejmuje to zadania takie jak identyfikowanie uruchomionych procesów, zarządzanie plikami i katalogami oraz wdrażanie ładunków, takich jak LPEClient i inne narzędzia do wyodrębniania poświadczeń.