SIGNBT Malware kopplad till den nordkoreanska Lazarus Group

Lazarus Group, associerad med Nordkorea, har kopplats till en nyligen genomförd kampanj där en okänd mjukvaruleverantör föll offer för en cyberattack genom att utnyttja kända säkerhetsbrister i en annan allmänt erkänd programvara.

Säkerhetsexperter har fastställt att attacken fortskred genom olika stadier, vilket i slutändan resulterade i distributionen av skadliga programvarufamiljer som SIGNBT och LPEClient, som är ett välkänt hackverktyg som används av hotaktören för att profilera mål och leverera skadliga nyttolaster.

Säkerhetsforskaren Seongsu Park noterade att motståndaren visade en hög nivå av sofistikering, använde avancerade undanflyktstekniker och introducerade SIGNBT malware för att kontrollera offren. SIGNBT skadlig programvara som användes i denna attack följde en komplex infektionskedja och använde sofistikerade metoder.

SIGNBT utplacerad mot leverantör av cybersäkerhet

En rysk leverantör av cybersäkerhet avslöjade att företaget som var ansvarigt för den exploaterade programvaran hade blivit måltavla av Lazarus-attacker flera gånger, vilket tyder på ett försök att stjäla källkod eller förorena mjukvaruförsörjningskedjan, liknande attacken i 3CX-försörjningskedjan. Lazarus Group fortsatte att utnyttja sårbarheter i företagets mjukvara samtidigt som de gick efter andra mjukvaruutvecklare, enligt Park. Denna senaste aktivitet har identifierat flera offer i mitten av juli 2023.

Dessa offer var måltavlor genom en legitim säkerhetsmjukvara utformad för att kryptera webbkommunikation med digitala certifikat. Namnet på denna programvara avslöjades inte, och den exakta metoden som användes för att beväpna den för att distribuera SIGNBT är fortfarande okänd.

Förutom att använda olika taktiker för att etablera och behålla kontroll över komprometterade system, använder attackkedjorna en in-memory loader för att underlätta lanseringen av SIGNBT malware. SIGNBT:s primära funktion är att upprätta kommunikation med en fjärrserver och hämta ytterligare instruktioner för exekvering på den komprometterade värden. Skadlig programvara får sitt namn från unika strängar med prefixet "SIGNBT" i sin HTTP-baserade kommando-och-kontroll-kommunikation (C2).

Windows-bakdörren, å andra sidan, är utrustad med ett brett utbud av funktioner för att ta kontroll över offrets system. Detta inkluderar uppgifter som att identifiera pågående processer, hantera filer och kataloger och distribuera nyttolaster som LPEClient och andra verktyg för att extrahera referenser.