Software malicioso SIGNBT
El grupo Lazarus, asociado con Corea del Norte, ha sido identificado como el autor de una reciente campaña cibernética. En esta operación, un proveedor de software no identificado fue víctima de un ataque facilitado al explotar vulnerabilidades de seguridad conocidas en un software destacado. La serie de ataques finalmente condujo a la introducción de familias de software amenazantes, incluido SIGNBT.
Además, los atacantes utilizaron una herramienta de piratería ampliamente reconocida comúnmente empleada por este actor de amenazas para actividades como perfilar víctimas potenciales y entregar cargas útiles. Esta herramienta se conoce como LPEClient en los esfuerzos de seguimiento.
Tabla de contenido
El grupo de hackers APT (Advanced Persistent Threat) atacó a la misma víctima repetidamente
La utilización del malware SIGNBT en este ataque demostró un proceso de infección multifacético y empleó técnicas avanzadas. El Grupo Lazarus persistió en explotar las vulnerabilidades dentro del software de la empresa objetivo con el objetivo de comprometer a otros desarrolladores de software. En sus actividades más recientes se han identificado varias víctimas hasta mediados de julio de 2023.
Estas víctimas fueron sometidas a un ataque a través de un software de seguridad legítimo diseñado para cifrar las comunicaciones web mediante certificados digitales. El nombre del software no fue revelado y el método preciso mediante el cual fue utilizado como arma para distribuir SIGNBT sigue sin revelarse.
Además de emplear una variedad de estrategias para establecer y mantener un punto de apoyo en los sistemas comprometidos, las secuencias de ataque emplearon un cargador en memoria que sirvió como conducto para lanzar el malware SIGNBT.
El malware SIGNBT se pone en contacto con un servidor C2 para obtener instrucciones adicionales
El objetivo principal de SIGNBT es establecer comunicación con un servidor remoto y recuperar instrucciones adicionales para su ejecución en el host infectado. Este malware recibe su nombre por el uso de cadenas distintas que tienen el prefijo "SIGNBT" en sus comunicaciones de comando y control (C2) basadas en HTTP:
- SIGNBTLG, para la conexión inicial
- SIGNBTKE, para recopilar metadatos del sistema al recibir un mensaje de ÉXITO del servidor C2
- SIGNBTGC, para buscar comandos
- SIGNBTFI, para manejar fallas de comunicación
- SIGNBTSR, para indicar una comunicación exitosa
Mientras tanto, la puerta trasera de Windows está equipada con una amplia gama de capacidades destinadas a obtener control sobre el sistema de la víctima. Estas capacidades incluyen enumerar procesos, realizar operaciones de archivos y directorios e implementar cargas útiles como LPEClient y otras herramientas para extraer credenciales.
El grupo Lazarus continúa evolucionando sus técnicas y su arsenal de malware
Solo en 2023, los investigadores identificaron un mínimo de tres campañas distintas de Lazarus. Estas campañas emplearon diversos métodos de intrusión y procedimientos de infección. Sin embargo, utilizaron constantemente el malware LPEClient para entregar el software inseguro de etapa final.
Una de estas campañas jugó un papel fundamental en la introducción de un implante conocido como Gopuram. Este implante se empleó en ataques cibernéticos dirigidos a empresas de criptomonedas, utilizando una versión manipulada del software de conferencia de voz y video 3CX.
Estos hallazgos recientes ejemplifican las operaciones cibernéticas en curso vinculadas a Corea del Norte y subrayan el continuo desarrollo y expansión de su arsenal de herramientas, estrategias y técnicas por parte del Grupo Lazarus. El Grupo Lazarus sigue siendo un actor de amenazas activo y adaptable en el panorama contemporáneo de la ciberseguridad.
