Lazarus grupi koja pripada Sjevernoj Koreji pripisuje se da stoji iza nove kampanje u kojoj je neimenovani dobavljač softvera kompromitovan kroz iskorištavanje poznatih sigurnosnih propusta u drugom softveru visokog profila.
Sekvence napada, prema Kasperskom, kulminirale su uvođenjem familija malvera kao što su SIGNBT i LPEClient, poznatog hakerskog alata koji hakeri koriste za profilisanje žrtava i isporuku payloada.
“Protivnik je pokazao visok nivo sofisticiranosti, koristeći napredne tehnike izbjegavanja i uvodeći SIGNBT malver za kontrolu žrtava”, rekao je istraživač sigurnosti Seongsu Park . “Malver SIGNBT korišten u ovom napadu koristio je različit lanac infekcije i sofisticirane tehnike.”
Ruski dobavljač sajber-sigurnosti rekao je da je kompanija koja je razvila eksploatisani softver bila žrtva Lazarus napada nekoliko puta, što ukazuje na pokušaj krađe izvornog koda ili trovanja lanca nabavke softvera, kao u slučaju napada na 3CX lanac snabdevanja.
Lazarus grupa je “nastavila da iskorištava ranjivosti u softveru kompanije dok cilja na druge proizvođače softvera”, dodao je Park. U sklopu najnovije aktivnosti, navodi se da je određeni broj žrtava izdvojen od sredine jula 2023. godine.
Žrtve su, prema kompaniji, bile ciljane putem legitimnog sigurnosnog softvera dizajniranog za šifriranje web komunikacija korištenjem digitalnih certifikata. Naziv softvera nije otkriven, a tačan mehanizam pomoću kojeg je softver naoružan za distribuciju SIGNBT ostaje nepoznat.
Osim oslanjanja na različite taktike za uspostavljanje i održavanje postojanosti na kompromitovanim sistemima, lanci napada koriste in-memory loader koji djeluje kao kanal za pokretanje SIGNBT malvera.
Glavna funkcija SIGNBT-a je da uspostavi kontakt sa udaljenim serverom i preuzme dalje komande za izvršenje na zaraženom hostu. Malver je tako nazvan po korištenju karakterističnih nizova koji imaju prefiks “SIGNBT” u HTTP-baziranoj command-and-control (C2) komunikaciji –
- SIGNBTLG, za početno povezivanje
- SIGNBTKE, za prikupljanje sistemskih metapodataka nakon prijema poruke SUCCESS od C2 servera
- SIGNBTGC, za dohvaćanje naredbi
- SIGNBTFI, za neuspjeh u komunikaciji
- SIGNBTSR, za uspješnu komunikaciju
Windows backdoor, sa svoje strane, je naoružan širokim spektrom mogućnosti za vršenje kontrole nad sistemom žrtve. Ovo uključuje nabrajanje procesa, operacije sa datotekama i direktorijumima, i implementaciju korisnih podataka kao što su LPEClient i drugi uslužni programi za izbacivanje kredencijala.
Kaspersky je rekao da je identifikovao najmanje tri različite Lazarus kampanje 2023. koristeći različite vektore upada i procedure zaraze, ali se dosledno oslanjao na LPEClient malver za isporuku malvera u završnoj fazi.
Jedna takva kampanja utrla je put implantatu kodnog imena Gopuram, koji je korišten u sajber napadima usmjerenim na kompanije kriptovaluta korištenjem trojanizirane verzije 3CX softvera za glasovne i video konferencije.
Najnovija otkrića samo su najsvježiji primjer sajber operacija povezanih sa Sjevernom Korejom, pored toga što su svjedočanstvo o stalnom razvoju i širenju arsenala alata, taktika i tehnika Lazarus grupe.
„Grupa Lazarus ostaje veoma aktivan i svestran haker u današnjem okruženju sajber bezbjednosti“, rekao je Park.
“Haker je pokazao duboko razumijevanje IT okruženja, usavršavajući svoju taktiku kako bi uključili iskorišćavanje ranjivosti u visokoprofilnom softveru. Ovaj pristup im omogućava da efikasno šire svoj malver nakon što se početna infekcija postigne.”
Izvor: The Hacker News
