SIGNBT-Malware
Als Täter einer aktuellen Cyberkampagne wurde die mit Nordkorea verbundene Lazarus-Gruppe identifiziert. Bei dieser Operation wurde ein unbekannter Softwareanbieter Opfer eines Angriffs, der durch die Ausnutzung bekannter Sicherheitslücken in einer bekannten Software ermöglicht wurde. Die Angriffsserie führte letztlich zur Einführung bedrohlicher Softwarefamilien, darunter SIGNBT.
Darüber hinaus nutzten die Angreifer ein weithin anerkanntes Hacking-Tool, das dieser Bedrohungsakteur häufig für Aktivitäten wie die Profilerstellung potenzieller Opfer und die Bereitstellung von Nutzlasten einsetzt. Dieses Tool wird bei der Nachverfolgung von Bemühungen als LPEClient bezeichnet.
Inhaltsverzeichnis
Die Hackergruppe APT (Advanced Persistent Threat) hatte es wiederholt auf dasselbe Opfer abgesehen
Der Einsatz der SIGNBT-Malware bei diesem Angriff zeigte einen vielschichtigen Infektionsprozess und nutzte fortschrittliche Techniken. Die Lazarus-Gruppe nutzte weiterhin Schwachstellen in der Software des Zielunternehmens aus, um andere Softwareentwickler zu kompromittieren. Bei ihren jüngsten Aktivitäten konnten bis Mitte Juli 2023 mehrere Opfer identifiziert werden.
Diese Opfer wurden einem Angriff mit legitimer Sicherheitssoftware ausgesetzt, die für die Verschlüsselung der Webkommunikation mithilfe digitaler Zertifikate entwickelt wurde. Der Name der Software wurde nicht bekannt gegeben, und die genaue Methode, mit der sie zur Verbreitung von SIGNBT missbraucht wurde, bleibt geheim.
Neben dem Einsatz einer Reihe von Strategien, um auf kompromittierten Systemen Fuß zu fassen und aufrechtzuerhalten, nutzten die Angriffssequenzen einen In-Memory-Loader, der als Kanal für den Start der SIGNBT-Malware diente.
SIGNBT-Malware kontaktiert einen C2-Server für weitere Anweisungen
Der Hauptzweck von SIGNBT besteht darin, eine Kommunikation mit einem Remote-Server herzustellen und weitere Anweisungen zur Ausführung auf dem infizierten Host abzurufen. Diese Malware verdankt ihren Namen der Verwendung unterschiedlicher Zeichenfolgen, denen in ihrer HTTP-basierten Command-and-Control-Kommunikation (C2) das Präfix „SIGNBT“ vorangestellt ist:
- SIGNBTLG, für die Erstverbindung
- SIGNBTKE zum Sammeln von Systemmetadaten beim Empfang einer SUCCESS-Nachricht vom C2-Server
- SIGNBTGC, zum Abrufen von Befehlen
- SIGNBTFI zur Behandlung von Kommunikationsfehlern
- SIGNBTSR, zur Anzeige einer erfolgreichen Kommunikation
Mittlerweile ist die Windows-Hintertür mit zahlreichen Funktionen ausgestattet, die darauf abzielen, die Kontrolle über das System des Opfers zu erlangen. Zu diesen Funktionen gehören das Aufzählen von Prozessen, das Durchführen von Datei- und Verzeichnisvorgängen sowie das Bereitstellen von Nutzlasten wie LPEClient und anderen Tools zum Extrahieren von Anmeldeinformationen.
Die Lazarus Group entwickelt ihre Techniken und ihr Malware-Arsenal weiter
Allein im Jahr 2023 haben Forscher mindestens drei verschiedene Lazarus-Kampagnen identifiziert. Bei diesen Kampagnen wurden verschiedene Einbruchsmethoden und Infektionsverfahren eingesetzt. Sie nutzten jedoch immer wieder die LPEClient-Malware, um die unsichere Software im Endstadium zu verbreiten.
Eine dieser Kampagnen spielte eine entscheidende Rolle bei der Einführung eines Implantats namens Gopuram. Dieses Implantat wurde bei Cyberangriffen gegen Kryptowährungsunternehmen eingesetzt und nutzte dabei eine manipulierte Version der 3CX-Sprach- und Videokonferenzsoftware.
Diese jüngsten Erkenntnisse veranschaulichen die laufenden mit Nordkorea verbundenen Cyberoperationen und unterstreichen die kontinuierliche Weiterentwicklung und Erweiterung des Arsenals an Tools, Strategien und Techniken der Lazarus Group. Die Lazarus Group bleibt ein aktiver und anpassungsfähiger Bedrohungsakteur in der heutigen Cybersicherheitslandschaft.
