LightlessCan Malware

Kyberzločinci provedli špionážní útok proti neznámé letecké společnosti ve Španělsku. V tomto incidentu aktéři hrozby převzali masku náborového pracovníka spojeného s Meta (dříve Facebook), aby se zaměřili na zaměstnance společnosti. Tito zaměstnanci byli prostřednictvím LinkedIn kontaktováni podvodným náborářem a následně podvedeni ke stažení a otevření výhružného spustitelného souboru. Klamný soubor byl prezentován jako kódovací výzva nebo kvíz. Napadené systémy byly následně infikovány dříve neznámou hrozbou zadních vrátek sledovanou jako LightlessCan.

Tento kybernetický útok je součástí dobře zavedené kampaně spear-phishing známé jako „Operation Dream Job“. Organizuje jej skupina Lazarus , herec APT (Advanced Persistent Threat) napojený na Severní Koreu. Primárním cílem Operation Dream Job je přilákat zaměstnance, kteří pracují v organizacích strategického zájmu. Útočníci využívají příslib atraktivních pracovních příležitostí jako návnadu k zahájení infekčního řetězce s konečným cílem kompromitovat systémy a data svých cílů.

Vícefázový útočný řetězec přináší malware LightlessCan

Útokový řetězec začíná ve chvíli, kdy je cílovému jednotlivci zaslána zpráva přes LinkedIn od podvodného náboráře, který tvrdí, že zastupuje Meta platformy. Tento falešný náborář poté odešle dvě kódovací výzvy, zdánlivě jako součást náborového procesu. Úspěšně přesvědčili oběť, aby provedla tyto testovací soubory, které jsou hostovány na platformě cloudového úložiště třetí strany a mají názvy Quiz1.iso a Quiz2.iso.

Jak zjistili odborníci na kybernetickou bezpečnost, tyto soubory ISO nesou škodlivé binární soubory známé jako Quiz1.exe a Quiz2.exe. Očekává se, že oběti stahují a spouštějí soubory na zařízení poskytnutém cílovou společností. Pokud tak učiníte, dojde ke kompromitaci systému, což povede k narušení podnikové sítě.

Toto porušení otevírá dveře pro nasazení HTTP(S) downloaderu známého jako NickelLoader. S tímto nástrojem útočníci získají možnost vložit libovolný požadovaný program přímo do paměti počítače oběti. Mezi nasazenými programy byl trojan pro vzdálený přístup LightlessCan a varianta BLINDINGCAN , známá jako miniBlindingCan (také označovaná jako AIRDRY.V2). Tyto nebezpečné nástroje by mohly útočníkům poskytnout vzdálený přístup a kontrolu nad napadeným systémem.

LightlessCan představuje evoluci Lazarova mocného arzenálu

Nejzajímavější aspekt útoku se točí kolem představení nového užitečného zatížení s názvem LightlessCan. Tento sofistikovaný nástroj vykazuje významný pokrok v škodlivých schopnostech ve srovnání se svým předchůdcem BLINDINGCAN (také známý jako AIDRY nebo ZetaNile). BLINDINGCAN již byl malware bohatý na funkce, který dokázal extrahovat citlivé informace z kompromitovaných hostitelů.

LightlessCan je vybaven podporou až 68 různých příkazů, i když jeho aktuální verze obsahuje pouze 43 z těchto příkazů s alespoň nějakou funkčností. Pokud jde o miniBlindingCan, řeší především úkoly, jako je přenos systémových informací a stahování souborů načtených ze vzdáleného serveru.

Pozoruhodnou charakteristikou této kampaně je realizace popravčích mantinelů. Tato opatření zabraňují dešifrování dat a jejich spuštění na jiném počítači, než je ten, na kterém je zamýšlena oběť.

LightlessCan je navržen tak, aby fungoval způsobem, který emuluje funkce mnoha nativních příkazů Windows. To umožňuje RAT provádět diskrétní provádění uvnitř sebe, aniž by bylo nutné provádět hlučné operace konzoly. Tento strategický posun zvyšuje utajení, takže je obtížnější detekovat a analyzovat útočníkovy aktivity.