LightlessCani pahavara

Küberkurjategijad korraldasid Hispaanias spionaažirünnaku ühe seni avalikustamata lennundusettevõtte vastu. Selles intsidendis võtsid ohus osalejad endale Meta (endise Facebooki) seotud värbaja näo, et sihikule võtta ettevõtte töötajaid. Petturlik värbaja võttis nende töötajatega LinkedIni kaudu ühendust ning seejärel pettis neid ähvardava täitmisfaili allalaadimisel ja avamisel. Petlik fail esitati kodeerimise väljakutse või viktoriinina. Ohustatud süsteemid nakatati seejärel varem tundmatu tagaukse ohuga, mida jälgiti kui LightlessCan.

See küberrünnak on osa väljakujunenud andmepüügikampaaniast, mida tuntakse kui "Operation Dream Job". Seda orkestreerib Lazarus Group , Põhja-Koreaga seotud APT (Advanced Persistent Threat) näitleja. Operation Dream Job peamine eesmärk on meelitada töötajaid, kes töötavad strateegilist huvi pakkuvates organisatsioonides. Ründajad kasutavad atraktiivsete töövõimaluste lubadust söödana, et käivitada nakkusahel, mille lõppeesmärk on kahjustada oma sihtmärkide süsteeme ja andmeid.

Mitmeastmeline ründeahel pakub LightlessCani pahavara

Rünnaku ahel algab siis, kui sihikule saadetakse LinkedIni kaudu sõnum petturlikult värbajalt, kes väidab end esindavat Meta Platformsi. Seejärel saadab see võlts värbaja kaks kodeerimisväljakutset, mis näivad olevat osa värbamisprotsessist. Nad veensid ohvrit edukalt käivitama need testfailid, mis on hostitud kolmanda osapoole pilvesalvestusplatvormil ja nimega Quiz1.iso ja Quiz2.iso.

Nagu küberturvalisuse eksperdid on tuvastanud, sisaldavad need ISO-failid pahatahtlikke binaarfaile, mida tuntakse Quiz1.exe ja Quiz2.exe nime all. Ohvrid peavad failid alla laadima ja täitma sihtettevõtte pakutavas seadmes. Nii toimides satub süsteem ohtu, mis viib ettevõtte võrgu rikkumiseni.

See rikkumine avab ukse NickelLoaderi nime all tuntud HTTP(S) allalaadija juurutamiseks. Selle tööriistaga saavad ründajad võimaluse süstida mis tahes soovitud programm otse ohvri arvuti mällu. Kasutusele võetud programmide hulgas olid kaugjuurdepääsu troojalane LightlessCan ja BLINDINGCANi variant, tuntud kui miniBlindingCan (nimetatakse ka kui AIRDRY.V2). Need ähvardavad tööriistad võivad anda ründajatele kaugjuurdepääsu ja kontrolli ohustatud süsteemi üle.

LightlessCan esindab Lazaruse võimsa arsenali arengut

Rünnaku kõige murettekitavam aspekt keerleb uudse kandevõime nimega LightlessCan tutvustamise ümber. Võrreldes eelkäija BLINDINGCANiga (tuntud ka kui AIDRY või ZetaNile) on sellel keerukal tööriistal märkimisväärne edasiminek kahjulike võimete osas. BLINDINGCAN oli juba funktsioonirikas pahavara, mis suutis ohustatud hostidelt tundlikku teavet hankida.

LightlessCan toetab kuni 68 erinevat käsku, kuigi selle praegune versioon sisaldab ainult 43 neist käskudest koos vähemalt mõne funktsiooniga. Mis puutub miniBlindingCani, siis see tegeleb peamiselt selliste ülesannetega nagu süsteemiteabe edastamine ja kaugserverist hangitud failide allalaadimine.

Selle kampaania tähelepanuväärne omadus on hukkamispiirete rakendamine. Need meetmed takistavad kasulike koormuste dekrüpteerimist ja käivitamist mis tahes muus masinas peale kavandatud ohvri masinas.

LightlessCan on loodud töötama viisil, mis emuleerib paljude Windowsi algkäskude funktsioone. See võimaldab RAT-il teostada enda sees diskreetset täitmist, vältides vajadust mürarikkate konsoolitoimingute järele. See strateegiline nihe suurendab vargsi, muutes ründaja tegevuse tuvastamise ja analüüsimise keerulisemaks.