导 读
尽管开发人员提供了多个补丁和警告,朝鲜 Lazarus 黑客组织还是利用易受攻击的软件漏洞多次攻击软件供应商。
Lazarus 多次攻击同一受害者的事实表明,黑客的目的是窃取源代码或尝试供应链攻击。
卡巴斯基解释说:“这种反复出现的攻击活动表明,专业黑客组织持续且坚定,其目标可能是窃取有价值的源代码或篡改软件供应链,他们继续利用软件中的漏洞,同时针对其他软件制造商。”
卡巴斯基于 2023 年 7 月发现了这次攻击,观察到 Lazarus 使用了多种感染链和入侵后的工具集。
卡巴斯基将这次攻击归入了 Lazarus 在 2023 年 3 月至 2023 年 8 月期间针对多家软件供应商的供应链攻击活动。
SIGNBT 和 LPEClient 恶意软件
报告提到,Lazarus 的攻击目标是用于加密网络通信的合法安全软件。然而,黑客所采用的具体利用方法仍然未知。
该漏洞利用导致了 SIGNBT 恶意软件的部署以及用于将有效负载注入内存以秘密执行 shellcode。
通过将恶意 DLL(“ualapi.dll”)添加到启动中以由“spoolsv.exe”执行或修改Windows 注册表来建立持久性。
恶意 DLL 文件在解密并从本地文件系统路径加载 SIGNBT 有效负载之前执行受害者 ID 验证检查,以确保感染继续进行到预期目标。
Lazarus 在攻击中使用的 DLL 侧面加载路径 (卡巴斯基)
SIGNBT 的名称源自其用于命令和控制 (C2) 通信、发送有关受感染系统的信息并接收执行命令的不同字符串。
SIGNBT 支持的命令有:
-
CCBrush:处理诸如获取系统信息、测试连接和配置设置等功能。
-
CCList:管理进程,包括获取正在运行的进程列表、终止进程、运行文件和DLL操作。
-
CCComboBox:与文件系统配合使用,例如获取驱动器列表、更改文件属性和创建新文件夹。
-
CCButton:下载和上传文件,加载到内存中,并捕获屏幕。
-
CCBitmap:实现常用的 Windows 命令和实用程序。
SIGNBT 还可以从 C2 获取额外的有效负载并将其部署在主机上,为 Lazarus 提供更多操作。
C2 与 SIGNBT 之间的通信交换
卡巴斯基发现 Lazarus 利用 SIGNBT 在受感染的系统上加载凭证转储工具和 LPEClient 恶意软件。
恶意软件加载过程 (卡巴斯基)
卡巴斯基表示,LPEClient 本身就是一个信息窃取程序和恶意软件加载器,其最新版本与之前记录的样本相比显著改变。
卡巴斯基提到:“它现在采用先进技术来提高其隐蔽性并避免检测,例如禁用用户模式系统调用挂钩和恢复系统库内存部分。 ”
卡巴斯基表示,Lazarus 在 2023 年运行的其他活动中整合了 LPEClient,尽管它在早期感染阶段使用了该恶意软件来注入其他有效负载。
总体而言,Lazarus组织仍然是最活跃和最危险的APT组织之一,在跨地区和行业中保持着广泛的目标范围。
他们最近的行动凸显了他们复杂的策略和持久的目标,强调组织需要主动修补软件并防止攻击者轻易利用漏洞入侵。
参考链接:https://www.bleepingcomputer.com/news/security/lazarus-hackers-breached-dev-repeatedly-to-deploy-signbt-malware/
今日安全资讯速递
APT事件
Advanced Persistent Threat
感染 100 万次的高级“StripedFly”恶意软件与 NSA 相关工具有相似之处
https://www.securityweek.com/advanced-stripedfly-malware-with-1-million-infections-shows-similarities-to-nsa-malware/
绿盟科技发现一起针对中国政府机构的大规模网络攻击
https://www.securitylab.ru/news/543106.php
Lazarus 黑客多次入侵开发环境以部署 SIGNBT 恶意软件
https://www.bleepingcomputer.com/news/security/lazarus-hackers-breached-dev-repeatedly-to-deploy-signbt-malware/
乌克兰安全部门参与俄罗斯最大私人银行的黑客攻击
https://therecord.media/sbu-involved-in-alfa-bank-hack
俄罗斯艺术家的 Spotify 账户被亲乌克兰黑客破坏
https://therecord.media/ukraine-hackers-deface-russian-artists-spotify-pages
Roundcube 0day 漏洞攻击被用于窃取欧洲政府电子邮件
https://www.scmagazine.com/news/roundcube-0-day-used-to-steal-european-government-emails
乌克兰网络官员警告称,针对金融和政府实体的 Smokeloader 攻击“激增”
https://therecord.media/surge-in-smokeloader-malware-attacks-targeting-ukrainian-financial-gov-orgs
一般威胁事件
General Threat Incidents
CCleaner 确认因 MOVEit 漏洞攻击导致客户信息泄露
https://cybernews.com/news/ccleaner-confirms-data-breach/
LOCKBIT 勒索软件团伙声称窃取了波音公司的数据
https://cybernews.com/news/boeing-lockbit-ransomware-attack/
漏洞事件
Vulnerability Incidents
F5 警告 BIG-IP 中存在严重远程代码执行漏洞(CVE-2023-46747)
https://www.securityweek.com/f5-warns-of-critical-remote-code-execution-vulnerability-in-big-ip/
D-LINK SQL注入漏洞可以让攻击者获得管理员权限
https://gbhackers.com/d-link-sql-injection-vulnerability/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(会杀毒的单反狗):Lazarus黑客多次入侵开发环境以部署SIGNBT恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论