LightlessCan Malware

Κυβερνοεγκληματίες πραγματοποίησαν επίθεση κατασκοπείας εναντίον μιας άγνωστης αεροδιαστημικής εταιρείας στην Ισπανία. Σε αυτό το περιστατικό, οι παράγοντες της απειλής ανέλαβαν το πρόσχημα ενός υπεύθυνου προσλήψεων που συνδέεται με τη Meta (πρώην Facebook) για να στοχεύσει τους υπαλλήλους της εταιρείας. Ο δόλιος υπεύθυνος προσλήψεων επικοινώνησε με αυτούς τους υπαλλήλους μέσω του LinkedIn και στη συνέχεια εξαπατήθηκαν για να κατεβάσουν και να ανοίξουν ένα απειλητικό εκτελέσιμο αρχείο. Το παραπλανητικό αρχείο παρουσιάστηκε ως πρόκληση κωδικοποίησης ή κουίζ. Τα παραβιασμένα συστήματα στη συνέχεια μολύνθηκαν με μια προηγουμένως άγνωστη απειλή κερκόπορτας που εντοπίστηκε ως LightlessCan.

Αυτή η κυβερνοεπίθεση είναι μέρος μιας καθιερωμένης εκστρατείας spear-phishing, γνωστής ως "Operation Dream Job". Ενορχηστρώνεται από την ομάδα Lazarus , έναν ηθοποιό APT (Advanced Persistent Threat) που συνδέεται με τη Βόρεια Κορέα. Ο πρωταρχικός στόχος του Operation Dream Job είναι να προσελκύσει υπαλλήλους που εργάζονται σε οργανισμούς στρατηγικού ενδιαφέροντος. Οι επιτιθέμενοι χρησιμοποιούν την υπόσχεση ελκυστικών ευκαιριών εργασίας ως δόλωμα για να ξεκινήσουν την αλυσίδα μόλυνσης, με απώτερο στόχο να θέσουν σε κίνδυνο τα συστήματα και τα δεδομένα των στόχων τους.

Μια αλυσίδα επίθεσης πολλαπλών σταδίων παρέχει το κακόβουλο λογισμικό LightlessCan

Η αλυσίδα επίθεσης ξεκινά όταν στο στοχευόμενο άτομο αποστέλλεται ένα μήνυμα μέσω του LinkedIn από έναν δόλιο υπεύθυνο προσλήψεων που ισχυρίζεται ότι εκπροσωπεί Meta Platforms. Αυτός ο πλαστός υπεύθυνος προσλήψεων προχωρά στη συνέχεια στην αποστολή δύο προκλήσεων κωδικοποίησης, φαινομενικά ως μέρος της διαδικασίας πρόσληψης. Έπεσαν με επιτυχία το θύμα να εκτελέσει αυτά τα αρχεία δοκιμής, τα οποία φιλοξενούνται σε μια πλατφόρμα αποθήκευσης cloud τρίτων και ονομάζονται Quiz1.iso και Quiz2.iso.

Όπως έχουν εντοπίσει ειδικοί στον τομέα της κυβερνοασφάλειας, αυτά τα αρχεία ISO φέρουν κακόβουλα δυαδικά αρχεία γνωστά ως Quiz1.exe και Quiz2.exe. Τα θύματα αναμένεται να κατεβάσουν και να εκτελέσουν τα αρχεία σε μια συσκευή που παρέχεται από την εταιρεία-στόχο. Κάτι τέτοιο θα έχει ως αποτέλεσμα το σύστημα να παραβιαστεί, οδηγώντας σε παραβίαση του εταιρικού δικτύου.

Αυτή η παραβίαση ανοίγει την πόρτα για την ανάπτυξη ενός προγράμματος λήψης HTTP(S) που είναι γνωστό ως NickelLoader. Με αυτό το εργαλείο, οι εισβολείς αποκτούν τη δυνατότητα να εισάγουν οποιοδήποτε επιθυμητό πρόγραμμα απευθείας στη μνήμη του υπολογιστή του θύματος. Μεταξύ των προγραμμάτων που αναπτύχθηκαν ήταν ο Trojan απομακρυσμένης πρόσβασης LightlessCan και μια παραλλαγή του BLINDINGCAN , γνωστή ως miniBlindingCan (αναφέρεται επίσης ως AIRDRY.V2). Αυτά τα απειλητικά εργαλεία θα μπορούσαν να παρέχουν στους εισβολείς απομακρυσμένη πρόσβαση και έλεγχο του παραβιασμένου συστήματος.

Το LightlessCan αντιπροσωπεύει μια εξέλιξη του ισχυρού οπλοστασίου του Λάζαρου

Η πιο ανησυχητική πτυχή της επίθεσης περιστρέφεται γύρω από την εισαγωγή ενός νέου ωφέλιμου φορτίου που ονομάζεται LightlessCan. Αυτό το εξελιγμένο εργαλείο παρουσιάζει σημαντική πρόοδο στις επιβλαβείς ικανότητες σε σύγκριση με τον προκάτοχό του, BLINDINGCAN (γνωστό και ως AIDRY ή ZetaNile). Το BLINDINGCAN ήταν ήδη ένα κακόβουλο λογισμικό πλούσιο σε χαρακτηριστικά ικανό να εξάγει ευαίσθητες πληροφορίες από παραβιασμένους κεντρικούς υπολογιστές.

Το LightlessCan είναι εξοπλισμένο με υποστήριξη για έως και 68 διακριτές εντολές, αν και η τρέχουσα έκδοσή του ενσωματώνει μόνο 43 από αυτές τις εντολές με τουλάχιστον κάποια λειτουργικότητα. Όσο για το miniBlindingCan, χειρίζεται κυρίως εργασίες όπως η μετάδοση πληροφοριών συστήματος και η λήψη αρχείων που έχουν ανακτηθεί από έναν απομακρυσμένο διακομιστή.

Ένα αξιοσημείωτο χαρακτηριστικό αυτής της εκστρατείας είναι η εφαρμογή προστατευτικών κιγκλιδωμάτων εκτέλεσης. Αυτά τα μέτρα αποτρέπουν την αποκρυπτογράφηση και την εκτέλεση των ωφέλιμων φορτίων σε οποιοδήποτε μηχάνημα εκτός από αυτό του θύματος.

Το LightlessCan έχει σχεδιαστεί για να λειτουργεί με τρόπο που μιμείται τις λειτουργίες πολλών εγγενών εντολών των Windows. Αυτό επιτρέπει στο RAT να εκτελεί διακριτική εκτέλεση μέσα του, αποφεύγοντας την ανάγκη για θορυβώδεις λειτουργίες της κονσόλας. Αυτή η στρατηγική αλλαγή ενισχύει τη μυστικότητα, καθιστώντας πιο δύσκολο τον εντοπισμό και την ανάλυση των δραστηριοτήτων του εισβολέα.