Skip to main content
1 November 2023 06:52

H ομάδα Lazarus στοχεύει γνωστό software developer

Η ομάδα Lazarus Group, η οποία φέρεται να έχει διασυνδέσεις με τη Βόρεια Κορέα, φαίνεται πως είναι υπεύθυνη για μια νέα εκστρατεία κυβερνοεπιθέσεων κατά την οποία ένας μη κατονομαζόμενος προμηθευτής λογισμικού παραβιάστηκε μέσω της εκμετάλλευσης γνωστών ευπαθειών ασφαλείας.

Οι αλληλουχία των επιθέσεων, σύμφωνα με την Kaspersky, κατέληξαν στην ανάπτυξη οικογενειών κακόβουλου λογισμικού, όπως το SIGNBT και το LPEClient.

«Οι επιθέσεις χαρακτηρίζονται από υψηλό επίπεδο πολυπλοκότητας και χρησιμοποιούν προηγμένες τεχνικές αποφυγής, εισάγοντας το κακόβουλο λογισμικό SIGNBT για τον έλεγχο των θυμάτων», δήλωσε ο ερευνητής ασφαλείας Seongsu Park. «Το κακόβουλο λογισμικό SIGNBT που χρησιμοποιήθηκε σε αυτήν την επίθεση χρησιμοποίησε εξελιγμένες τεχνικές».

Η Kaspersky δήλωσε ότι η εταιρεία που ανέπτυξε το λογισμικό που παραβιάστηκε είχε πέσει θύμα της ομάδας Lazarus αρκετές φορές στο παρελθόν, γεγονός που υποδηλώνει προσπάθεια υποκλοπής πηγαίου κώδικα ή της αλυσίδας εφοδιασμού λογισμικού, όπως στην περίπτωση της επίθεσης στην αλυσίδα εφοδιασμού της 3CX.

Η Lazarus Group «συνεχίζει να εκμεταλλεύεται τα τρωτά σημεία στο λογισμικό της εταιρείας, ενώ στοχοποιεί και άλλους κατασκευαστές λογισμικού», πρόσθεσε ο Park.

Όσοι χρήστες έπεσαν θύματα, σύμφωνα με την εταιρεία, στοχοποιήθηκαν μέσω ενός νόμιμου λογισμικού ασφαλείας, που έχει σχεδιαστεί για την κρυπτογράφηση των επικοινωνιών στο διαδίκτυο με τη χρήση ψηφιακών πιστοποιητικών. Το όνομα του λογισμικού δεν αποκαλύφθηκε και ο ακριβής μηχανισμός με τον οποίο το λογισμικό χρησιμοποιήθηκε ως όπλο για τη διανομή του SIGNBT παραμένει άγνωστος.

Η κύρια λειτουργία του SIGNBT είναι η δημιουργία επαφής με έναν απομακρυσμένο διακομιστή και η ανάκτηση περαιτέρω εντολών για εκτέλεση στον παραβιασμένο υπολογιστή. Το κακόβουλο λογισμικό ονομάστηκε έτσι λόγω της χρήσης χαρακτηριστικών συμβολοσειρών με πρόθεμα SIGNBT στις επικοινωνίες εντολών και ελέγχου (C2) που βασίζονται στο HTTP.

Η Kaspersky δήλωσε ότι εντόπισε τουλάχιστον τρεις διαφορετικές εκστρατείες της Lazarus κατά το 2023, που χρησιμοποιούσαν διαφορετικούς φορείς εισβολής και διαδικασίες μόλυνσης, αλλά βασίζονταν σταθερά στο κακόβουλο λογισμικό LPEClient για την παράδοση του κακόβουλου λογισμικού τελικού σταδίου.

Τεύχος 383

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ