威胁情报信息分享|朝鲜 Lazarus 集团利用已知缺陷针对软件供应商

与朝鲜有关的 Lazarus 集团被认为是一个攻击行为的背后的主使，他们通过利用另一款高知名度软件中的已知安全漏洞，对一个未命名的软件供应商发起了新的攻击活动。

根据 Kaspersky 的描述，攻击序列最终导致了部署了 SIGNBT 和 LPEClient 等恶意软件家族，LPEClient 是这个威胁行为者用于受害者分析和有效载荷交付的已知黑客工具。

安全研究员 Seongsu Park 说：“敌人展示出了很高的技术水平，采用先进的逃逸技术，并引入 SIGNBT 恶意软件来控制受害者。在这次攻击中使用的 SIGNBT 恶意软件采用了多样的感染链和复杂的技术。”

这家俄罗斯网络安全供应商表示，开发被利用软件的公司曾多次成为 Lazarus 攻击的受害者，这表明了试图窃取源代码或毒害软件供应链的企图，就像 3CX 供应链攻击的情况一样。

Park 补充说，Lazarus 集团“在针对其他软件制造商时，继续利用该公司软件中的漏洞。”据说，在最近的活动中，截至 2023 年 7 月中旬，已经有一些受害者被单独指出。

据该公司称，受害者是通过一个合法的安全软件进行攻击的，该软件旨在使用数字证书加密网络通信。软件的名称没有透露，软件如何被武器化以分发 SIGNBT 的确切机制仍然未知。

除了依赖各种策略在受损系统上建立和维持持久性外，攻击链还使用一个内存加载器作为传输管道来启动 SIGNBT 恶意软件。

SIGNBT 的主要功能是与远程服务器建立联系，并检索进一步的命令以在受感染的主机上执行。恶意软件之所以被这样命名，是因为它在基于 HTTP 的命令和控制 (C2) 通信中使用了以 "SIGNBT" 为前缀的独特字符串 

SIGNBTLG，初次连接

SIGNBTKE，收到 C2 服务器的 SUCCESS 消息后收集系统元数据

SIGNBTGC，用于获取命令

SIGNBTFI，通信失败

SIGNBTSR，通信成功

这个 Windows 后门装有一系列功能，可以对受害者的系统进行控制。这包括进程枚举、文件和目录操作，以及部署如 LPEClient 和其他凭据转储实用程序的payload。

Kaspersky 说，它在 2023 年至少发现了三种不同的 Lazarus 活动，这些活动使用了不同的入侵矢量和感染程序，但都一贯地依赖于 LPEClient 恶意软件来交付最终阶段的恶意软件。

其中一个活动为一个名为 Gopuram 的植入体铺平了道路，它被用于通过利用一个捆绑木马的 3CX 语音和视频会议软件，针对加密货币公司发起网络攻击。

最新的发现只是朝鲜相关的网络行动的最新例证，同时也证明了 Lazarus 集团不断进化和扩展的工具、策略和技巧。

Park 说：“Lazarus 集团仍然是当今网络安全领域一个非常活跃和多功能的威胁行为者。”

“这个威胁行为者已经展示了对 IT 环境的深入了解，他们的策略不断完善，包括利用高知名度软件中的漏洞。这种方法允许他们在实现初步感染后高效地传播他们的恶意软件。”

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|朝鲜 Lazarus 集团利用已知缺陷针对软件供应商