朝鲜的Lazarus黑客组织一直以来都是网络安全界的一个重要关注对象。最近,他们被认为是一场新的攻击活动的幕后黑手。在这次活动中,一家未透露姓名的软件供应商受到损害,原因是利用备受关注的软件中已知的安全漏洞。
据卡巴斯基公司表示,这些攻击最终导致SIGNBT和LPEClient等恶意软件的部署,这些恶意软件是威胁行为者用来进行受害者分析和有效负载传输的已知黑客工具。
安全研究员Seongsu Park指出,这次攻击表现出了高度的复杂性,对手采用了先进的规避技术,并引入了SIGNBT恶意软件来控制受害者。SIGNBT恶意软件采用了多样化的感染链和复杂的技术。
据俄罗斯网络安全供应商透露,开发被利用软件的公司曾多次成为Lazarus攻击的受害者。这表明有人试图窃取源代码或污染软件供应链,类似于之前发生的3CX供应链攻击。
Lazarus组织继续利用该公司软件中的漏洞,并瞄准其他软件制造商。据称,在最新的活动中,已有多名受害者被挑选出来。
据该公司表示,受害者是通过一种合法的安全软件成为目标的,该软件旨在使用数字证书加密网络通信,但具体的软件名称并未公开。至今仍不清楚SIGNBT恶意软件的具体传播机制。
除了利用各种策略来建立和维持被感染系统的持久性外,攻击链还利用内存加载程序作为启动SIGNBT恶意软件的渠道。
SIGNBT恶意软件的主要功能是与远程服务器建立联系并检索进一步的命令,以在受感染的主机上执行。该恶意软件在基于HTTP的命令和控制(C2)通信中使用以”SIGNBT”为前缀的独特字符串命名,例如SIGNBTLG用于初始连接,SIGNBTKE用于收集系统元数据,SIGNBTGC用于获取命令,SIGNBTFI用于通信失败,SIGNBTSR用于成功的通信。
SIGNBT恶意软件本身具有多种功能,可用于控制受害者系统,包括进程枚举、文件和目录操作,以及部署LPEClient和其他凭证转储实用程序等有效负载。
卡巴斯基公司表示,在2023年发现了至少三个不同的Lazarus活动,使用不同的入侵向量和感染程序,但始终依赖LPEClient恶意软件来传播最终阶段的恶意软件。
其中一个活动代号为Gopuram的植入程序通过利用3CX语音和视频会议软件的木马版本,为针对加密货币公司的网络攻击铺平了道路。
这些最新发现只是与朝鲜有关的网络行动的最新例子,同时也证明了Lazarus组织不断发展和扩大其工具、策略和技术库。
Lazarus组织一直是一个高度活跃和多才多艺的威胁行为者,在当今的网络安全领域仍然是一个重要关注的存在。他们不断改进攻击技术,寻找新的目标和漏洞进行利用。除了针对软件供应商的攻击,Lazarus组织还涉足其他领域,如金融机构和加密货币交易所。他们利用各种手段,包括社交工程、钓鱼邮件和恶意软件传播,来窃取敏感信息、盗取资金和进行间谍活动。
Lazarus组织的活动与朝鲜政府有关。据信,他们是朝鲜政府的授权实体,为政府提供网络攻击能力,并帮助政府实现其政治和经济目标。他们在过去几年一直活跃,并且对于网络安全社区来说是一个重要的关注对象。
为了保护自己免受这类攻击的影响,软件供应商和其他潜在目标应采取一系列安全措施。这包括定期更新和修补软件中的安全漏洞,实施强大的身份验证和访问控制机制,培训员工有关网络安全的最佳实践,以及使用先进的入侵检测和防御系统。
此外,用户也应保持警惕,避免点击可疑或不明来源的链接,不下载来历不明的附件,定期更新和维护其操作系统和应用程序,并使用可靠的安全软件来保护其设备免受恶意软件的侵害。
总的来说,Lazarus组织的活动显示出网络威胁的不断演变和升级。面对这些威胁,持续的安全意识和综合的防御措施是至关重要的。
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/lazarus-group-attacks-software-suppliers-with-known-vulnerabilities.html
