N. Korean Lazarus Group 利用已知缺陷瞄准软件供应商

与朝鲜结盟的Lazarus集团被认为是一场新活动的幕后黑手，在这场活动中，一家未具名的软件供应商通过利用另一个备受瞩目的软件中的已知安全漏洞而受到损害。

根据卡巴斯基的说法，这些攻击序列最终部署了恶意软件家族，例如 SIGNBT 和 LPEClient，这是一种已知的黑客工具，威胁行为者用于受害者分析和有效载荷交付。

“对手表现出高度的复杂性，采用先进的规避技术，并引入SIGNBT恶意软件来控制受害者，”安全研究员Seongsu Park说。“这次攻击中使用的 SIGNBT 恶意软件采用了多样化的感染链和复杂的技术。”

这家俄罗斯网络安全供应商表示，开发被利用软件的公司曾多次成为Lazarus攻击的受害者，这表明有人试图窃取源代码或毒害软件供应链，就像3CX供应链攻击一样。

Cybersecurity
Park补充说，Lazarus集团“继续利用公司软件中的漏洞，同时针对其他软件制造商。作为最新活动的一部分，据说截至 2023 年 7 月中旬，一些受害者已被挑出来。

根据该公司的说法，受害者是通过一种合法的安全软件成为目标，该软件旨在使用数字证书加密网络通信。该软件的名称没有披露，该软件被武器化以分发SIGNBT的确切机制仍然未知。

除了依靠各种策略在受感染的系统上建立和维护持久性外，攻击链还使用内存加载程序作为启动 SIGNBT 恶意软件的管道。



N. Korean Lazarus Group
SIGNBT 的主要功能是与远程服务器建立联系，并检索更多命令以在受感染的主机上执行。该恶意软件因其在基于 HTTP 的命令和控制 （C2） 通信中使用以“SIGNBT”为前缀的独特字符串而得名 -

SIGNBTLG，用于初始连接
SIGNBTKE，用于在从 C2 服务器接收 SUCCESS 消息时收集系统元数据
SIGNBTGC，用于获取命令
SIGNBTFI，用于通信故障
SIGNBTSR，用于成功的通信
就其本身而言，Windows 后门具有广泛的功能，可以对受害者的系统进行控制。这包括进程枚举、文件和目录操作，以及有效负载（如 LPEClient 和其他凭据转储实用程序）的部署。

卡巴斯基表示，它在 2023 年使用不同的入侵媒介和感染程序发现了至少三个不同的 Lazarus 活动，但始终依赖 LPEClient 恶意软件来提供最后阶段的恶意软件。

Cybersecurity
其中一项活动为代号为 Gopuram 的植入物铺平了道路，该植入物通过利用 3CX 语音和视频会议软件的木马版本用于针对加密货币公司的网络攻击。

最新的发现只是与朝鲜有关的网络行动的最新例子，此外还证明了拉撒路集团不断发展和不断扩大的工具、战术和技术库。

“在当今的网络安全领域，Lazarus Group仍然是一个高度活跃和多才多艺的威胁行为者，”Park说。

“威胁行为者表现出对 IT 环境的深刻理解，改进了他们的策略，包括利用知名软件中的漏洞。这种方法使他们能够在实现初始感染后有效地传播恶意软件。