Вредоносное ПО SIGNBT связано с северокорейской группой Lazarus

Группа Lazarus, связанная с Северной Кореей, была связана с недавней кампанией, в ходе которой неизвестный поставщик программного обеспечения стал жертвой кибератаки в результате использования известных уязвимостей безопасности в другом широко известном программном обеспечении.

Эксперты по безопасности определили, что атака проходила через различные этапы, что в конечном итоге привело к развертыванию семейств вредоносного программного обеспечения, таких как SIGNBT и LPEClient, которые являются известным хакерским инструментом, используемым злоумышленником для профилирования целей и доставки вредоносных полезных данных.

Исследователь безопасности Сонсу Пак отметил, что злоумышленник продемонстрировал высокий уровень сложности, используя передовые методы уклонения и внедрив вредоносное ПО SIGNBT для контроля над жертвами. Вредоносная программа SIGNBT, использованная в этой атаке, следовала сложной цепочке заражения и использовала изощренные методы.

SIGNBT развернут против поставщика кибербезопасности

Российский поставщик кибербезопасности сообщил, что компания, ответственная за эксплуатируемое программное обеспечение, несколько раз подвергалась атакам Lazarus, что предполагает попытку украсть исходный код или заразить цепочку поставок программного обеспечения, аналогично атаке на цепочку поставок 3CX. По словам Пака, Lazarus Group продолжала использовать уязвимости в программном обеспечении компании, одновременно преследуя других разработчиков программного обеспечения. По состоянию на середину июля 2023 года в результате этой недавней деятельности по состоянию на середину июля 2023 года было выявлено несколько жертв.

Эти жертвы были атакованы с помощью законного программного обеспечения безопасности, предназначенного для шифрования веб-коммуникаций с использованием цифровых сертификатов. Название этого программного обеспечения не разглашается, и точный метод, использованный в качестве оружия для распространения SIGNBT, остается неизвестным.

Помимо использования различных тактик для установления и поддержания контроля над скомпрометированными системами, цепочки атак используют загрузчик в памяти для облегчения запуска вредоносного ПО SIGNBT. Основная функция SIGNBT — установить связь с удаленным сервером и получить дальнейшие инструкции для выполнения на скомпрометированном хосте. Вредоносная программа получила свое название от уникальных строк с префиксом «SIGNBT» в средствах управления и контроля (C2) на основе HTTP.

С другой стороны, бэкдор Windows оснащен широким набором возможностей для получения контроля над системой жертвы. Сюда входят такие задачи, как идентификация запущенных процессов, управление файлами и каталогами, а также развертывание полезных данных, таких как LPEClient и других утилит для извлечения учетных данных.