Οι χάκερ της Lazarus παραβίασαν επανειλημμένα τον προγραμματιστή για να αναπτύξουν κακόβουλο λογισμικό SIGNBT

Η βορειοκορεατική ομάδα

hacking

Lazarus παραβίασε

επα

νειλημμένα έναν προμηθευτή λογισμικού χρησιμοποιώντας ελαττώματα σε ευάλωτο λογισμικό παρά τις πολλαπλές ενημερώσεις κώδικα και προειδοποιήσεις που διατίθενται από τον προγραμματιστή.

Το γεγονός ότι ο Lazarus παραβίασε το ίδιο θύμα πολλές φορές δείχνει ότι οι χάκερ είχαν σκοπό να κλέψουν τον πηγαίο κώδικα ή να επιχειρήσουν επίθεση στην αλυσίδα εφοδιασμού.

“Αυτή η επαναλαμβανόμενη παραβίαση υποδήλωνε έναν επίμονο και αποφασιστικό παράγοντα απειλής με πιθανό στόχο την κλοπή πολύτιμου πηγαίου κώδικα ή την παραβίαση της αλυσίδας εφοδιασμού λογισμικού και συνέχισαν να εκμεταλλεύονται τρωτά σημεία στο λογισμικό της εταιρείας ενώ στοχεύουν άλλους κατασκευαστές λογισμικού”, εξηγεί η Kaspersky.

Η επίθεση ανακαλύφθηκε από την Kaspersky τον Ιούλιο του

2023

, η οποία παρατήρησε τον Λάζαρο να χρησιμοποιεί μια διαφορετική αλυσίδα μόλυνσης και ένα σύνολο εργαλείων μετά τον συμβιβασμό.

Η Kaspersky τοποθετεί αυτήν την επίθεση στο ευρύτερο πεδίο μιας εκστρατείας στην οποία η Lazarus στόχευσε διάφορους προμηθευτές λογισμικού μεταξύ Μαρτίου 2023 και Αυγούστου 2023.

Το κακόβουλο λογισμικό SIGNBT και LPEClient

Η έκθεση αναφέρει ότι ο Lazarus στόχευε νόμιμο λογισμικό ασφαλείας που χρησιμοποιείται για την κρυπτογράφηση των επικοινωνιών Ιστού. Ωστόσο, η ακριβής μέθοδος εκμετάλλευσης που ακολούθησαν οι χάκερ παραμένει άγνωστη.

Η εκμετάλλευση οδήγησε στην ανάπτυξη του κακόβουλου λογισμικού SIGNBT μαζί με τον κώδικα shell που χρησιμοποιήθηκε για την έγχυση του ωφέλιμου φορτίου στη μνήμη για κρυφή εκτέλεση.

Η επιμονή καθορίζεται με την προσθήκη ενός κακόβουλου DLL (‘ualapi.dll’) στην Εκκίνηση που θα εκτελεστεί από το ‘spoolsv.exe’ ή με την εκτέλεση τροποποιήσεων στο μητρώο των

Windows

.

Το κακόβουλο αρχείο DLL εκτελεί ελέγχους επαλήθευσης ταυτότητας θύματος προτού αποκρυπτογραφήσει και φορτώσει το ωφέλιμο φορτίο SIGNBT από μια τοπική διαδρομή συστήματος αρχείων για να διασφαλίσει ότι η μόλυνση θα προχωρήσει στους επιδιωκόμενους στόχους.

Το SIGNBT πήρε το όνομά του από τις διακριτές συμβολο

σειρές

που χρησιμοποιεί για επικοινωνίες εντολών και ελέγχου (C2), αποστολή πληροφοριών σχετικά με το παραβιασμένο σύστημα και λήψη εντολών για εκτέλεση.

Οι εντολές που υποστηρίζονται από το SIGNBT είναι:

• 
  CCBrush
  
  : Χειρίζεται λειτουργίες όπως η λήψη πληροφοριών σχετικά με το σύστημα, η δοκιμή συνδεσιμότητας και η διαμόρφωση ρυθμίσεων.
• 
  CCLlist
  
  : Διαχειρίζεται διεργασίες, συμπεριλαμβανομένης της λήψης μιας λίστας διεργασιών που εκτελούνται, της θανάτωσης διεργασιών, της εκτέλεσης αρχείων και των χειρισμών DLL.
• 
  CCComboBox
  
  : Λειτουργεί με το σύστημα αρχείων, όπως λήψη λιστών μονάδων δίσκου, αλλαγή ιδιοτήτων αρχείων και δημιουργία νέων φακέλων.
• 
  Κουμπί CC
  
  : Πραγματοποιεί λήψη και αποστολή αρχείων, φορτώνει στη μνήμη και καταγράφει την οθόνη.
• 
  CCBitmap
  
  : Υλοποιεί εντολές και βοηθητικά προγράμματα των Windows που χρησιμοποιούνται συνήθως.

Το SIGNBT μπορεί επίσης να πάρει πρόσθετα ωφέλιμα φορτία από το C2 και να τα αναπτύξει στον κεντρικό υπολογιστή, παρέχοντας στη Lazarus λειτουργική ευελιξία.

Η Kaspersky έχει δει τη Lazarus να αξιοποιεί αυτό το χαρακτηριστικό στο SIGNBT για τη φόρτωση εργαλείων απόρριψης διαπιστευτηρίων και του κακόβουλου λογισμικού LPEClient σε παραβιασμένα συστήματα.

Το LPEClient είναι ένα πρόγραμμα φόρτωσης πληροφοριών και κακόβουλου λογισμικού από μόνο του, το οποίο, στις πιο πρόσφατες εκδόσεις του, η Kaspersky λέει ότι παρουσιάζει σημαντική εξέλιξη σε σύγκριση με προηγούμενα τεκμηριωμένα δείγματα.

“Πλέον χρησιμοποιεί προηγμένες τεχνικές για να βελτιώσει τη μυστικότητά του και να αποφύγει τον εντοπισμό του, όπως η απενεργοποίηση της σύνδεσης syscall σε λειτουργία χρήστη και η επαναφορά τμημάτων μνήμης της βιβλιοθήκης του συστήματος.”

αναφέρει η Kaspersky

.

Η Kaspersky λέει ότι η Lazarus ενσωματώνει το LPEClient σε άλλες καμπάνιες που έτρεξε το 2023, αν και χρησιμοποίησε το κακόβουλο λογισμικό σε προηγούμενες φάσεις μόλυνσης για να εισάγει άλλα ωφέλιμα φορτία.

Συνολικά, ο όμιλος Lazarus παραμένει ένας από τους πιο ενεργούς και επικίνδυνους παράγοντες απειλών, διατηρώντας ένα ευρύ πεδίο στόχευσης σε όλες τις περιοχές και τις βιομηχανίες.

Οι πρόσφατες ενέργειές τους υπογραμμίζουν τις εξελιγμένες τακτικές και τους επίμονους στόχους τους, τονίζοντας την ανάγκη των οργανισμών να επιδιορθώσουν προληπτικά το λογισμικό και να αποτρέψουν την εύκολη εκμετάλλευση των τρωτών σημείων για αρχικό συμβιβασμό.