Lazarus 集团被认为是一场新活动的幕后黑手，在该活动中，一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。

卡巴斯基表示，这些攻击序列最终导致了 SIGNBT 和LPEClient等恶意软件系列的部署，这是威胁行为者用来进行受害者分析和有效负载传输的已知黑客工具。

安全研究员 Seongsu Park表示：“对手表现出了高度的复杂性，他们采用了先进的规避技术，并引入了 SIGNBT 恶意软件来控制受害者。” “这次攻击中使用的 SIGNBT 恶意软件采用了多样化的感染链和复杂的技术。”

这家俄罗斯网络安全供应商表示，开发被利用软件的公司曾多次成为 Lazarus 攻击的受害者，这表明有人试图窃取源代码或毒害软件供应链，就像3CX 供应链攻击的情况一样。

Park 补充道，Lazarus 集团“继续利用该公司软件中的漏洞，同时瞄准其他软件制造商”。作为最新活动的一部分，据称截至 2023 年 7 月中旬，已有多名受害者被挑选出来。

根据该公司的说法，受害者是通过一种合法的安全软件成为目标的，该软件旨在使用数字证书加密网络通信。该软件的名称并未公开，该软件被武器化以分发 SIGNBT 的确切机制仍然未知。

除了依靠各种策略来建立和维护受感染系统的持久性之外，攻击链还采用内存加载程序作为启动 SIGNBT 恶意软件的渠道。

SIGNBT 的主要功能是与远程服务器建立联系并检索进一步的命令以在受感染的主机上执行。该恶意软件因其在基于 HTTP 的命令和控制 (C2) 通信中使用前缀为“SIGNBT”的独特字符串而得名 –

• SIGNBTLG，用于初始连接
• SIGNBTKE，用于在从 C2 服务器接收到 SUCCESS 消息后收集系统元数据
• SIGNBTGC，用于获取命令
• SIGNBTFI，通讯失败
• SIGNBTSR，为了成功的沟通

Windows 后门本身具有多种功能来对受害者的系统进行控制。这包括进程枚举、文件和目录操作以及 LPEClient 和其他凭证转储实用程序等有效负载的部署。

卡巴斯基表示，它在 2023 年发现了至少三个不同的 Lazarus 活动，使用不同的入侵向量和感染程序，但始终依赖 LPEClient 恶意软件来传播最终阶段的恶意软件。

其中一项活动为代号为Gopuram的植入程序铺平了道路，该植入程序通过利用 3CX 语音和视频会议软件的木马版本，用于针对加密货币公司的网络攻击。

最新的发现只是与朝鲜有关的网络行动的最新例子，此外也证明了拉撒路集团不断发展和不断扩大的工具、策略和技术库。

“在当今的网络安全领域，拉撒路集团仍然是一个高度活跃和多才多艺的威胁参与者，”帕克说。

“威胁行为者表现出了对 IT 环境的深刻理解，改进了他们的策略，包括利用知名软件中的漏洞。这种方法使他们能够在实现初始感染后有效地传播恶意软件。”