SIGNBT 恶意软件与朝鲜 Lazarus 组织有关
与朝鲜有联系的拉撒路集团与最近的一次活动有关,在该活动中,一家未公开的软件供应商通过利用另一种广泛认可的软件中的已知安全漏洞而成为网络攻击的受害者。
安全专家已经确定,攻击经历了各个阶段,最终导致了 SIGNBT 和 LPEClient 等恶意软件系列的部署,这是威胁行为者用来分析目标和传递恶意负载的众所周知的黑客工具。
安全研究员 Seongsu Park 指出,对手表现出高度的复杂性,利用先进的规避技术并引入 SIGNBT 恶意软件来控制受害者。此次攻击中使用的 SIGNBT 恶意软件遵循复杂的感染链并采用了复杂的方法。
针对网络安全供应商部署 SIGNBT
俄罗斯网络安全供应商透露,负责被利用软件的公司曾多次成为 Lazarus 攻击的目标,这表明该公司试图窃取源代码或污染软件供应链,类似于 3CX 供应链攻击。 Park 表示,Lazarus 集团继续利用该公司软件中的漏洞,同时也追捕其他软件开发商。截至 2023 年 7 月中旬,最近的活动已确定数名受害者。
这些受害者是通过合法安全软件瞄准的,该软件旨在使用数字证书加密网络通信。该软件的名称并未公开,并且用于将其武器化以分发 SIGNBT 的精确方法仍然未知。
除了采用多种策略来建立和维护对受感染系统的控制之外,攻击链还使用内存加载程序来促进 SIGNBT 恶意软件的启动。 SIGNBT 的主要功能是与远程服务器建立通信并检索进一步的指令以在受感染的主机上执行。该恶意软件的名称源自其基于 HTTP 的命令与控制 (C2) 通信中以“SIGNBT”为前缀的唯一字符串。
另一方面,Windows 后门具有多种用于控制受害者系统的功能。这包括识别正在运行的进程、管理文件和目录以及部署有效负载(例如 LPEClient 和其他用于提取凭据的实用程序)等任务。