برنامج LightlessCan الخبيث

نفذ مجرمو الإنترنت هجومًا تجسسيًا ضد شركة طيران لم يكشف عنها في إسبانيا. وفي هذه الحادثة، انتحل ممثلو التهديد مظهر مسؤول توظيف تابع لشركة Meta (فيسبوك سابقًا) لاستهداف موظفي الشركة. تم الاتصال بهؤلاء الموظفين من خلال LinkedIn من قبل جهة التوظيف الاحتيالية وتم خداعهم لاحقًا لتنزيل وفتح ملف تهديد قابل للتنفيذ. تم تقديم الملف المخادع باعتباره تحديًا أو اختبارًا للترميز. تم إصابة الأنظمة المخترقة لاحقًا بتهديد خلفي غير معروف سابقًا تم تتبعه باسم LightlessCan.

يعد هذا الهجوم الإلكتروني جزءًا من حملة تصيد احتيالي راسخة تُعرف باسم "عملية Dream Job". يتم تنسيق هذه العملية من قبل مجموعة Lazarus Group ، وهي جهة فاعلة تعمل في مجال التهديد المستمر المتقدم (APT) مرتبطة بكوريا الشمالية. الهدف الأساسي لعملية Dream Job هو جذب الموظفين الذين يعملون ضمن المنظمات ذات الاهتمام الاستراتيجي. يستخدم المهاجمون الوعد بفرص العمل الجذابة كطعم لبدء سلسلة العدوى، بهدف نهائي هو تعريض أنظمة وبيانات أهدافهم للخطر.

سلسلة هجمات متعددة المراحل توفر البرنامج الضار LightlessCan

تبدأ سلسلة الهجوم عندما يتم إرسال رسالة إلى الشخص المستهدف عبر LinkedIn من جهة توظيف محتالة تدعي أنها تمثل Meta Platforms. يشرع مسؤول التوظيف المزيف بعد ذلك في إرسال تحديين للبرمجة، على ما يبدو كجزء من عملية التوظيف. لقد نجحوا في إقناع الضحية بتنفيذ ملفات الاختبار هذه، والتي تتم استضافتها على منصة تخزين سحابية تابعة لجهة خارجية وتسمى Quiz1.iso وQuiz2.iso.

وكما حدد خبراء الأمن السيبراني، فإن ملفات ISO هذه تحمل ملفات ثنائية ضارة تُعرف باسم Quiz1.exe وQuiz2.exe. ومن المتوقع أن يقوم الضحايا بتنزيل الملفات وتنفيذها على الجهاز الذي توفره الشركة المستهدفة. سيؤدي القيام بذلك إلى تعرض النظام للخطر، مما يؤدي إلى اختراق شبكة الشركة.

يفتح هذا الاختراق الباب لنشر أداة تنزيل HTTP(S) المعروفة باسم NickelLoader. وباستخدام هذه الأداة، يكتسب المهاجمون القدرة على حقن أي برنامج مرغوب فيه مباشرة في ذاكرة كمبيوتر الضحية. ومن بين البرامج التي تم نشرها كان حصان طروادة LightlessCan للوصول عن بعد ومتغير من BLINDINGCAN ، المعروف باسم miniBlindingCan (يُشار إليه أيضًا باسم AIRDRY.V2). يمكن لأدوات التهديد هذه أن تمنح المهاجمين إمكانية الوصول عن بعد والتحكم في النظام المخترق.

يمثل LightlessCan تطورًا في ترسانة لازاروس القوية

الجانب الأكثر إثارة للقلق في الهجوم يدور حول إدخال حمولة جديدة تسمى LightlessCan. تُظهِر هذه الأداة المتطورة تقدمًا كبيرًا في القدرات الضارة مقارنةً بسابقتها، BLINDINGCAN (المعروفة أيضًا باسم AIDRY أو ZetaNile). كان BLINDINGCAN بالفعل برنامجًا ضارًا غنيًا بالميزات وقادرًا على استخراج المعلومات الحساسة من الأجهزة المضيفة المخترقة.

تم تجهيز LightlessCan بدعم ما يصل إلى 68 أمرًا مختلفًا، على الرغم من أن نسخته الحالية تتضمن 43 أمرًا فقط من هذه الأوامر مع بعض الوظائف على الأقل. أما بالنسبة لـ miniBlindingCan، فهو يتعامل بشكل أساسي مع مهام مثل نقل معلومات النظام وتنزيل الملفات المستردة من خادم بعيد.

ومن السمات الجديرة بالملاحظة لهذه الحملة تنفيذ حواجز الحماية. تمنع هذه الإجراءات فك تشفير الحمولات وتنفيذها على أي جهاز آخر غير جهاز الضحية المقصودة.

تم تصميم LightlessCan للعمل بطريقة تحاكي وظائف العديد من أوامر Windows الأصلية. يسمح هذا لـ RAT بتنفيذ عمليات تنفيذ سرية داخل نفسه، مما يتجنب الحاجة إلى عمليات وحدة التحكم المزعجة. ويعزز هذا التحول الاستراتيجي القدرة على التخفي، مما يزيد من صعوبة اكتشاف وتحليل أنشطة المهاجم.