De Noord-Koreaanse bondgenoten Lazarus-groep wordt toegeschreven als de drijvende kracht achter een nieuwe campagne waarin een niet bij naam genoemde softwareleverancier werd gecompromitteerd door misbruik te maken van bekende beveiligingsfouten in andere spraakmakende software.
Volgens Kaspersky culmineerden de aanvalssequenties in de inzet van malwarefamilies zoals SIGNBT en LPEClient, een bekende hacktool die door de bedreigingsacteur wordt gebruikt voor het profileren van slachtoffers en het leveren van payloads.
“De tegenstander toonde een hoog niveau van verfijning, maakte gebruik van geavanceerde ontwijkingstechnieken en introduceerde SIGNBT-malware voor slachtoffercontrole”, aldus beveiligingsonderzoeker Seongsu Park. “De SIGNBT-malware die bij deze aanval werd gebruikt, maakte gebruik van een diverse infectieketen en geavanceerde technieken.”
De Russische cyberbeveiligingsleverancier zei dat het bedrijf dat de uitgebuite software ontwikkelde meerdere malen het slachtoffer was geworden van een Lazarus-aanval, wat duidt op een poging om de broncode te stelen of de software-toeleveringsketen te vergiftigen, zoals in het geval van de 3CX-toeleveringsketenaanval.
De Lazarus Group “bleef kwetsbaarheden in de software van het bedrijf exploiteren terwijl ze zich op andere softwaremakers richtten”, voegde Park eraan toe. Als onderdeel van de laatste activiteit zouden er medio juli 2023 een aantal slachtoffers zijn geïdentificeerd.
Volgens het bedrijf waren de slachtoffers het doelwit van legitieme beveiligingssoftware die was ontworpen om webcommunicatie te coderen met behulp van digitale certificaten. De naam van de software is niet bekendgemaakt en het exacte mechanisme waarmee de software werd bewapend om SIGNBT te verspreiden, blijft onbekend.
Naast het vertrouwen op verschillende tactieken om persistentie op gecompromitteerde systemen tot stand te brengen en te behouden, maken de aanvalsketens gebruik van een in-memory loader die fungeert als kanaal om de SIGNBT-malware te lanceren.
De belangrijkste functie van SIGNBT is het tot stand brengen van contact met een externe server en het ophalen van verdere opdrachten voor uitvoering op de geïnfecteerde host. De malware is zo genoemd vanwege het gebruik van onderscheidende tekenreeksen die worden voorafgegaan door “SIGNBT” in zijn op HTTP gebaseerde command-and-control (C2) -communicatie –
- SIGNBTLG, voor eerste verbinding
- SIGNBTKE, voor het verzamelen van systeemmetagegevens na ontvangst van een SUCCESS-bericht van de C2-server
- SIGNBTGC, voor het ophalen van opdrachten
- SIGNBTFI, voor communicatiefout
- SIGNBTSR, voor een succesvolle communicatie
De Windows-achterdeur is op zijn beurt bewapend met een breed scala aan mogelijkheden om controle uit te oefenen over het systeem van het slachtoffer. Dit omvat procesopsomming, bestands- en mapbewerkingen en de implementatie van payloads zoals LPEClient en andere hulpprogramma’s voor het dumpen van referenties.
Kaspersky zei dat het in 2023 ten minste drie verschillende Lazarus-campagnes heeft geïdentificeerd met behulp van gevarieerde inbraakvectoren en infectieprocedures, maar consequent vertrouwde op LPEClient-malware om de malware in de laatste fase af te leveren.
Eén van die campagnes maakte de weg vrij voor een implantaat met de codenaam Gopuram, dat werd gebruikt bij cyberaanvallen gericht op cryptocurrency-bedrijven door gebruik te maken van een getrojaniseerde versie van de 3CX-software voor spraak- en videoconferenties.
De nieuwste bevindingen zijn slechts het nieuwste voorbeeld van aan Noord-Korea gekoppelde cyberoperaties, en vormen bovendien een bewijs van het steeds evoluerende en steeds groter wordende arsenaal aan instrumenten, tactieken en technieken van de Lazarus Group.
“De Lazarus Group blijft een zeer actieve en veelzijdige dreigingsspeler in het huidige cybersecuritylandschap”, aldus Park.
“De bedreigingsacteur heeft blijk gegeven van een diepgaand inzicht in IT-omgevingen en heeft hun tactieken verfijnd om ook kwetsbaarheden in spraakmakende software te exploiteren. Deze aanpak stelt hen in staat hun malware efficiënt te verspreiden zodra de eerste infecties zijn bereikt.”
