Malware SIGNBT vinculado ao grupo norte-coreano Lazarus
O Grupo Lazarus, associado à Coreia do Norte, tem sido associado a uma campanha recente em que um fornecedor de software não revelado foi vítima de um ataque cibernético através da exploração de vulnerabilidades de segurança conhecidas noutro software amplamente reconhecido.
Especialistas em segurança determinaram que o ataque progrediu em vários estágios, resultando em última análise na implantação de famílias de software malicioso como SIGNBT e LPEClient, que é uma ferramenta de hacking bem conhecida usada pelo ator da ameaça para traçar perfis de alvos e entregar cargas maliciosas.
O pesquisador de segurança Seongsu Park observou que o adversário exibiu um alto nível de sofisticação, utilizando técnicas avançadas de evasão e introduzindo o malware SIGNBT para controlar as vítimas. O malware SIGNBT usado neste ataque seguiu uma cadeia de infecção complexa e empregou métodos sofisticados.
SIGNBT implantado contra fornecedor de segurança cibernética
Um fornecedor russo de segurança cibernética revelou que a empresa responsável pelo software explorado foi alvo de ataques Lazarus várias vezes, sugerindo um esforço para roubar código-fonte ou contaminar a cadeia de fornecimento de software, semelhante ao ataque à cadeia de fornecimento 3CX. O Grupo Lazarus continuou a explorar vulnerabilidades no software da empresa enquanto perseguia outros desenvolvedores de software, de acordo com Park. Esta atividade recente identificou várias vítimas em meados de julho de 2023.
Essas vítimas foram atacadas por meio de um software de segurança legítimo projetado para criptografar comunicações na web usando certificados digitais. O nome deste software não foi divulgado e o método preciso usado para transformá-lo em uma arma para distribuição do SIGNBT permanece desconhecido.
Além de empregar diversas táticas para estabelecer e manter o controle sobre os sistemas comprometidos, as cadeias de ataque usam um carregador na memória para facilitar o lançamento do malware SIGNBT. A principal função do SIGNBT é estabelecer comunicação com um servidor remoto e recuperar instruções adicionais para execução no host comprometido. O nome do malware deriva de strings exclusivas prefixadas com “SIGNBT” em suas comunicações de comando e controle (C2) baseadas em HTTP.
O backdoor do Windows, por outro lado, está equipado com uma ampla gama de recursos para assumir o controle do sistema da vítima. Isso inclui tarefas como identificar processos em execução, gerenciar arquivos e diretórios e implantar cargas como LPEClient e outros utilitários para extrair credenciais.
