SIGNBT マルウェア
北朝鮮と関係のあるラザロ・グループが、最近のサイバーキャンペーンの実行犯として特定された。この作戦では、正体不明のソフトウェア ベンダーが、著名なソフトウェアの既知のセキュリティ脆弱性を悪用することによって促進された攻撃の犠牲になりました。一連の攻撃は最終的に、SIGNBT を含む脅威的なソフトウェア ファミリの導入につながりました。
さらに、攻撃者は、潜在的な被害者のプロファイリングやペイロードの配信などの活動に、この脅威アクターが一般的に使用している広く知られているハッキング ツールを利用しました。このツールは、追跡作業では LPEClient と呼ばれます。
目次
APT(Advanced Persistent Threat)ハッカーグループが同じ被害者を繰り返し標的にした
この攻撃での SIGNBT マルウェアの利用は、多面的な感染プロセスを実証し、高度な技術を使用していました。 Lazarus グループは、他のソフトウェア開発者を危険にさらすことを目的として、標的となった企業のソフトウェア内の脆弱性を悪用し続けました。彼らの最近の活動では、2023 年 7 月中旬の時点で数人の被害者が特定されています。
これらの被害者は、デジタル証明書を通じて Web 通信を暗号化するように設計された正規のセキュリティ ソフトウェアによる攻撃を受けました。ソフトウェアの名前は明らかにされておらず、SIGNBTを配布するためにソフトウェアが兵器化された正確な方法も未公開のままです。
攻撃シーケンスでは、侵害されたシステムへの足がかりを確立および維持するためのさまざまな戦略を採用することに加えて、SIGNBT マルウェアを起動するための経路として機能するメモリ内ローダーも使用されました。
SIGNBT マルウェアは追加の指示を求めて C2 サーバーに接続します
SIGNBT の主な目的は、リモート サーバーとの通信を確立し、感染したホストで実行するためのさらなる命令を取得することです。このマルウェアは、HTTP ベースのコマンド アンド コントロール (C2) 通信で「SIGNBT」というプレフィックスが付いた個別の文字列を使用することからその名前が付けられました。
- SIGNBTLG、初期接続用
- SIGNBTKE、C2 サーバーから SUCCESS メッセージを受信したときにシステム メタデータを収集します。
- SIGNBTGC、コマンドフェッチ用
- SIGNBTFI、通信障害の処理用
- SIGNBTSR、通信が成功したことを示す
一方、Windows バックドアには、被害者のシステムを制御することを目的としたさまざまな機能が装備されています。これらの機能には、プロセスの列挙、ファイルおよびディレクトリ操作の実行、LPEClient や資格情報を抽出するためのその他のツールなどのペイロードの展開が含まれます。
Lazarus グループは技術とマルウェア アーセナルを進化させ続けています
ちょうど 2023 年に、研究者たちは少なくとも 3 つの異なる Lazarus キャンペーンを特定しました。これらのキャンペーンでは、さまざまな侵入方法と感染手順が使用されました。しかし、彼らは一貫して LPEClient マルウェアを利用して、最終段階の安全でないソフトウェアを配布しました。
これらのキャンペーンの 1 つは、ゴープラムとして知られるインプラントの導入において極めて重要な役割を果たしました。このインプラントは、3CX 音声およびビデオ会議ソフトウェアの改ざんバージョンを使用した、暗号通貨企業を対象としたサイバー攻撃に使用されました。
これらの最近の調査結果は、進行中の北朝鮮関連のサイバー作戦を例示しており、ラザラス・グループがツール、戦略、技術の武器を継続的に開発および拡大していることを強調している。 Lazarus Group は、現代のサイバーセキュリティ環境において、アクティブかつ適応力のある脅威アクターであり続けています。
