LightlessCan злонамерен софтуер

Киберпрестъпниците са извършили шпионска атака срещу неразкрита аерокосмическа компания в Испания. В този инцидент участниците в заплахата се превъплътиха в набирач на персонал, свързан с Meta (бивш Facebook), за да се насочат към служителите на компанията. С тези служители се е свързал през LinkedIn от измамника за набиране на персонал и впоследствие са били измамени да изтеглят и отворят заплашителен изпълним файл. Измамният файл беше представен като предизвикателство за кодиране или тест. Компрометираните системи впоследствие бяха заразени с неизвестна досега заплаха от задната врата, проследена като LightlessCan.

Тази кибератака е част от добре установена кампания за фишинг, известна като „Операция Мечтана работа“. Той е организиран от Lazarus Group , APT (Advanced Persistent Threat) актьор, свързан със Северна Корея. Основната цел на Operation Dream Job е да привлече служители, които работят в организации от стратегически интерес. Нападателите използват обещанието за атрактивни възможности за работа като стръв, за да инициират веригата на заразяване, с крайната цел да компрометират системите и данните на своите цели.

Многоетапна верига от атаки доставя злонамерения софтуер LightlessCan

Веригата на атаката започва, когато на целевия индивид бъде изпратено съобщение чрез LinkedIn от измамен вербовчик, който твърди, че представлява Meta Platforms. След това този фалшив вербовчик продължава да изпраща две предизвикателства за кодиране, изглежда като част от процеса на набиране на персонал. Те успешно убедиха жертвата да изпълни тези тестови файлове, които се хостват на платформа за облачно съхранение на трета страна и се наричат Quiz1.iso и Quiz2.iso.

Както установиха експерти по киберсигурност, тези ISO файлове съдържат злонамерени двоични файлове, известни като Quiz1.exe и Quiz2.exe. Очаква се жертвите да изтеглят и изпълняват файловете на устройство, предоставено от целевата компания. Това ще доведе до компрометиране на системата, което ще доведе до пробив в корпоративната мрежа.

Този пробив отваря вратата за внедряването на HTTP(S) програма за изтегляне, известна като NickelLoader. С този инструмент нападателите получават възможността да инжектират всяка желана програма директно в паметта на компютъра на жертвата. Сред внедрените програми бяха троянският кон за отдалечен достъп LightlessCan и вариант на BLINDINGCAN , известен като miniBlindingCan (наричан още AIRDRY.V2). Тези заплашителни инструменти могат да предоставят на нападателите отдалечен достъп и контрол върху компрометираната система.

LightlessCan представлява еволюция на мощния арсенал на Lazarus

Най-тревожният аспект на атаката се върти около въвеждането на нов полезен товар, наречен LightlessCan. Този усъвършенстван инструмент показва значителен напредък във вредните способности в сравнение с предшественика си, BLINDINGCAN (известен също като AIDRY или ZetaNile). BLINDINGCAN вече беше богат на функции зловреден софтуер, способен да извлича чувствителна информация от компрометирани хостове.

LightlessCan е оборудван с поддръжка за до 68 отделни команди, въпреки че настоящата му версия включва само 43 от тези команди с поне някаква функционалност. Що се отнася до miniBlindingCan, той основно се справя със задачи като предаване на системна информация и изтегляне на файлове, извлечени от отдалечен сървър.

Забележителна характеристика на тази кампания е изпълнението на мантинели. Тези мерки предотвратяват дешифрирането и изпълнението на полезните товари на друга машина, различна от тази на предвидената жертва.

LightlessCan е проектиран да работи по начин, който емулира функционалностите на множество собствени команди на Windows. Това позволява на RAT да извършва дискретно изпълнение в себе си, избягвайки необходимостта от шумни конзолни операции. Тази стратегическа промяна подобрява стелтизма, което прави по-трудно откриването и анализирането на дейностите на нападателя.