Programari maliciós LightlessCan

Els ciberdelinqüents han executat un atac d'espionatge contra una empresa aeroespacial no revelada a Espanya. En aquest incident, els actors de l'amenaça van assumir la disfressa d'un reclutador afiliat a Meta (abans Facebook) per apuntar als empleats de l'empresa. Aquests empleats van ser contactats a través de LinkedIn pel reclutador fraudulent i posteriorment els van enganyar per descarregar i obrir un fitxer executable amenaçador. El fitxer enganyós es va presentar com un repte o qüestionari de codificació. Els sistemes compromesos es van infectar posteriorment amb una amenaça de porta posterior desconeguda prèviament rastrejada com a LightlessCan.

Aquest ciberatac forma part d'una campanya de pesca de pesca ben establerta coneguda com "Operació Treball de somni". Està orquestrada pel Lazarus Group , un actor APT (Advanced Persistent Threat) vinculat a Corea del Nord. L'objectiu principal d'Operation Dream Job és atraure els empleats que treballen dins d'organitzacions d'interès estratègic. Els atacants utilitzen la promesa d'oportunitats laborals atractives com a esquer per iniciar la cadena d'infecció, amb l'objectiu final de comprometre els sistemes i les dades dels seus objectius.

Una cadena d'atac en diverses etapes ofereix el programari maliciós LightlessCan

La cadena d'atac comença quan l'individu objectiu rep un missatge a través de LinkedIn d'un reclutador fraudulent que afirma representar Meta Platforms. Aquest reclutador fals procedeix a enviar dos reptes de codificació, aparentment com a part del procés de contractació. Van convèncer la víctima amb èxit perquè executés aquests fitxers de prova, que estan allotjats en una plataforma d'emmagatzematge en núvol de tercers i s'anomenen Quiz1.iso i Quiz2.iso.

Tal com han identificat els experts en ciberseguretat, aquests fitxers ISO contenen fitxers binaris maliciosos coneguts com Quiz1.exe i Quiz2.exe. S'espera que les víctimes baixin i executin els fitxers en un dispositiu proporcionat per l'empresa objectiu. Si ho feu, el sistema es veurà compromès, provocant una incompliment de la xarxa corporativa.

Aquesta incompliment obre la porta per al desplegament d'un descarregador HTTP(S) conegut com a NickelLoader. Amb aquesta eina, els atacants aconsegueixen la capacitat d'injectar qualsevol programa desitjat directament a la memòria de l'ordinador de la víctima. Entre els programes desplegats hi havia el troià d'accés remot LightlessCan i una variant de BLINDINGCAN , coneguda com a miniBlindingCan (també conegut com AIRDRY.V2). Aquestes eines amenaçadores podrien concedir als atacants accés remot i control sobre el sistema compromès.

LightlessCan representa una evolució del poderós arsenal de Lazarus

L'aspecte més preocupant de l'atac gira al voltant de la introducció d'una nova càrrega útil anomenada LightlessCan. Aquesta eina sofisticada presenta un avenç significatiu en les capacitats nocives en comparació amb el seu predecessor, BLINDINGCAN (també conegut com AIDRY o ZetaNile). BLINDINGCAN ja era un programari maliciós ric en funcions capaç d'extreure informació sensible dels amfitrions compromesos.

LightlessCan està equipat amb suport per a fins a 68 ordres diferents, tot i que la seva versió actual només incorpora 43 d'aquestes ordres amb almenys alguna funcionalitat. Pel que fa a miniBlindingCan, s'encarrega principalment de tasques com ara transmetre informació del sistema i descarregar fitxers recuperats d'un servidor remot.

Una característica destacable d'aquesta campanya és la implantació de baranes d'execució. Aquestes mesures eviten que les càrregues útils siguin desxifrades i executades en qualsevol màquina que no sigui la de la víctima prevista.

LightlessCan està dissenyat per funcionar d'una manera que emula les funcionalitats de nombroses ordres natives de Windows. Això permet que el RAT realitzi una execució discreta dins de si mateix, evitant la necessitat d'operacions sorolloses de la consola. Aquest canvi estratègic millora la sigil·litat, fent que sigui més difícil detectar i analitzar les activitats de l'atacant.