SIGNBT 惡意軟體與北韓 Lazarus 組織有關
與北韓有聯繫的拉撒路集團與最近的一次活動有關,在該活動中,一家未公開的軟體供應商通過利用另一種廣泛認可的軟體中的已知安全漏洞而成為網路攻擊的受害者。
安全專家已經確定,攻擊經歷了各個階段,最終導致了 SIGNBT 和 LPEClient 等惡意軟體系列的部署,這是威脅行為者用來分析目標和傳遞惡意負載的眾所周知的駭客工具。
安全研究員 Seongsu Park 指出,對手錶現出高度的複雜性,利用先進的規避技術並引入 SIGNBT 惡意軟體來控制受害者。此次攻擊中使用的 SIGNBT 惡意軟體遵循複雜的感染鏈並採用了複雜的方法。
針對網路安全供應商部署 SIGNBT
俄羅斯網路安全供應商透露,負責被利用軟體的公司曾多次成為 Lazarus 攻擊的目標,這表明該公司試圖竊取原始碼或污染軟體供應鏈,類似於 3CX 供應鏈攻擊。 Park 表示,Lazarus 集團繼續利用該公司軟體中的漏洞,同時也追捕其他軟體開發商。截至 2023 年 7 月中旬,最近的活動已確定數名受害者。
這些受害者是透過合法安全軟體瞄準的,該軟體旨在使用數位證書加密網路通訊。該軟體的名稱並未公開,用於將其武器化以分發 SIGNBT 的精確方法仍然未知。
除了採用多種策略來建立和維護對受感染系統的控制之外,攻擊鏈還使用記憶體載入程式來促進 SIGNBT 惡意軟體的啟動。 SIGNBT 的主要功能是與遠端伺服器建立通訊並檢索進一步的指令以在受感染的主機上執行。該惡意軟體的名稱源自於其基於 HTTP 的命令與控制 (C2) 通訊中以「SIGNBT」為前綴的唯一字串。
另一方面,Windows 後門具有多種用於控制受害者係統的功能。這包括識別正在運行的進程、管理檔案和目錄以及部署有效負載(例如 LPEClient 和其他用於提取憑證的實用程式)等任務。