Logiciel malveillant SIGNBT
Le groupe Lazarus, associé à la Corée du Nord, a été identifié comme l'auteur d'une récente cyber-campagne. Lors de cette opération, un éditeur de logiciels non identifié a été victime d'une attaque facilitée par l'exploitation de failles de sécurité bien connues dans un logiciel de premier plan. La série d’attaques a finalement conduit à l’introduction de familles de logiciels menaçants, dont SIGNBT.
En outre, les attaquants ont utilisé un outil de piratage largement reconnu et couramment utilisé par cet acteur malveillant pour des activités telles que le profilage des victimes potentielles et la livraison de charges utiles. Cet outil est appelé LPEClient dans le cadre des efforts de suivi.
Table des matières
Le groupe de hackers APT (Advanced Persistent Threat) a ciblé la même victime à plusieurs reprises
L'utilisation du malware SIGNBT dans cette attaque a démontré un processus d'infection à multiples facettes et utilisé des techniques avancées. Le groupe Lazarus a persisté à exploiter les vulnérabilités des logiciels de l'entreprise ciblée dans le but de compromettre d'autres développeurs de logiciels. Lors de leurs activités les plus récentes, plusieurs victimes ont été identifiées dès la mi-juillet 2023.
Ces victimes ont été victimes d'une attaque via un logiciel de sécurité légitime conçu pour crypter les communications Web via des certificats numériques. Le nom du logiciel n'a pas été divulgué et la méthode précise par laquelle il a été utilisé pour distribuer SIGNBT n'a pas été divulguée.
En plus d'employer une série de stratégies pour établir et maintenir un pied sur les systèmes compromis, les séquences d'attaque utilisaient un chargeur en mémoire qui servait de canal pour lancer le logiciel malveillant SIGNBT.
Le logiciel malveillant SIGNBT contacte un serveur C2 pour obtenir des instructions supplémentaires
L'objectif principal de SIGNBT est d'établir une communication avec un serveur distant et de récupérer des instructions supplémentaires à exécuter sur l'hôte infecté. Ce malware doit son nom à son utilisation de chaînes distinctes préfixées par « SIGNBT » dans ses communications de commande et de contrôle (C2) basées sur HTTP :
- SIGNBTLG, pour la première connexion
- SIGNBTKE, pour collecter les métadonnées du système lors de la réception d'un message SUCCESS du serveur C2
- SIGNBTGC, pour récupérer les commandes
- SIGNBTFI, pour gérer les échecs de communication
- SIGNBTSR, pour indiquer une communication réussie
Pendant ce temps, la porte dérobée Windows est dotée d'un large éventail de fonctionnalités visant à prendre le contrôle du système de la victime. Ces fonctionnalités incluent l'énumération des processus, l'exécution d'opérations sur les fichiers et les répertoires et le déploiement de charges utiles telles que LPEClient et d'autres outils pour extraire les informations d'identification.
Le groupe Lazarus continue de faire évoluer ses techniques et son arsenal de logiciels malveillants
Rien qu’en 2023, les chercheurs ont identifié au moins trois campagnes Lazarus distinctes. Ces campagnes utilisaient diverses méthodes d’intrusion et procédures d’infection. Cependant, ils ont systématiquement utilisé le logiciel malveillant LPEClient pour fournir le logiciel dangereux de dernière étape.
L'une de ces campagnes a joué un rôle central dans l'introduction d'un implant appelé Gopuram. Cet implant a été utilisé dans des cyberattaques dirigées contre des sociétés de cryptomonnaie, en utilisant une version falsifiée du logiciel de conférence vocale et vidéo 3CX.
Ces découvertes récentes illustrent les cyberopérations en cours liées à la Corée du Nord et soulignent le développement et l'expansion continus du groupe Lazarus de son arsenal d'outils, de stratégies et de techniques. Le groupe Lazarus reste un acteur menaçant actif et adaptable dans le paysage contemporain de la cybersécurité.
