LightlessCan Malware

Cyberkriminelle har udført et spionageangreb mod et uoplyst luftfartsselskab i Spanien. I denne hændelse antog trusselsaktørerne skikkelse af en rekrutterer tilknyttet Meta (tidligere Facebook) for at målrette virksomhedens medarbejdere. Disse medarbejdere blev kontaktet via LinkedIn af den svigagtige rekrutterer og efterfølgende bedraget til at downloade og åbne en truende eksekverbar fil. Den vildledende fil blev præsenteret som en kodningsudfordring eller quiz. De kompromitterede systemer blev efterfølgende inficeret med en tidligere ukendt bagdørstrussel sporet som LightlessCan.

Dette cyberangreb er en del af en veletableret spyd-phishing-kampagne kendt som "Operation Dream Job." Det er orkestreret af Lazarus Group , en APT-skuespiller (Advanced Persistent Threat) knyttet til Nordkorea. Det primære formål med Operation Dream Job er at lokke medarbejdere, der arbejder i organisationer af strategisk interesse. Angriberne bruger løftet om attraktive jobmuligheder som lokkemad til at starte infektionskæden med det ultimative mål at kompromittere deres måls systemer og data.

En flertrins angrebskæde leverer LightlessCan-malwaren

Angrebskæden begynder, når den målrettede person får sendt en besked via LinkedIn fra en svigagtig rekrutterer, der hævder at repræsentere Meta-platforme. Denne falske rekrutterer fortsætter derefter med at sende to kodningsudfordringer, tilsyneladende som en del af rekrutteringsprocessen. Det lykkedes dem at overbevise offeret om at udføre disse testfiler, som er hostet på en tredjeparts cloud-lagringsplatform og kaldet Quiz1.iso og Quiz2.iso.

Som cybersikkerhedseksperter har identificeret, indeholder disse ISO-filer ondsindede binære filer kendt som Quiz1.exe og Quiz2.exe. Ofre forventes at downloade og udføre filerne på en enhed leveret af det målrettede firma. Hvis du gør det, vil systemet blive kompromitteret, hvilket fører til et brud på virksomhedens netværk.

Dette brud åbner døren for implementering af en HTTP(S)-downloader kendt som NickelLoader. Med dette værktøj får angriberne mulighed for at injicere ethvert ønsket program direkte i ofrets computers hukommelse. Blandt de programmer, der blev implementeret, var LightlessCan-fjernadgangs-trojaneren og en variant af BLINDINGCAN , kendt som miniBlindingCan (også kaldet AIRDRY.V2). Disse truende værktøjer kan give angriberne fjernadgang og kontrol over det kompromitterede system.

LightlessCan repræsenterer en udvikling af Lazarus' kraftfulde Arsenal

Angrebets mest bekymrende aspekt drejer sig om introduktionen af en ny nyttelast ved navn LightlessCan. Dette sofistikerede værktøj udviser et betydeligt fremskridt inden for skadelige egenskaber sammenlignet med dets forgænger, BLINDINGCAN (også kendt som AIDRY eller ZetaNile). BLINDINGCAN var allerede en funktionsrig malware, der var i stand til at udtrække følsom information fra kompromitterede værter.

LightlessCan er udstyret med understøttelse af op til 68 forskellige kommandoer, selvom dens nuværende version kun inkorporerer 43 af disse kommandoer med i det mindste en vis funktionalitet. Hvad angår miniBlindingCan, håndterer den primært opgaver som at overføre systemoplysninger og downloade filer hentet fra en fjernserver.

Et bemærkelsesværdigt kendetegn ved denne kampagne er implementeringen af autoværn. Disse foranstaltninger forhindrer, at nyttelasterne dekrypteres og udføres på enhver anden maskine end den tilsigtede offer.

LightlessCan er designet til at fungere på en måde, der emulerer funktionaliteterne af adskillige oprindelige Windows-kommandoer. Dette gør det muligt for RAT at udføre diskret udførelse i sig selv, hvilket undgår behovet for støjende konsoloperationer. Dette strategiske skift øger snigheden, hvilket gør det mere udfordrende at opdage og analysere angriberens aktiviteter.