بدافزار LightlessCan

مجرمان سایبری یک حمله جاسوسی علیه یک شرکت هوافضای نامعلوم در اسپانیا انجام دادند. در این حادثه، عوامل تهدید، ظاهر استخدام‌کننده‌ای وابسته به متا (فیسبوک سابق) را برای هدف قرار دادن کارمندان شرکت به خود گرفتند. این کارمندان از طریق لینکدین توسط استخدام کننده کلاهبردار تماس گرفتند و متعاقبا فریب خوردند تا یک فایل اجرایی تهدیدآمیز را دانلود و باز کنند. فایل فریبنده به عنوان چالش کدنویسی یا مسابقه ارائه شد. سیستم‌های در معرض خطر متعاقباً با یک تهدید درب پشتی ناشناخته قبلی که تحت عنوان LightlessCan ردیابی شده بود، آلوده شدند.

این حمله سایبری بخشی از یک کمپین تثبیت شده فیشینگ نیزه ای است که به نام "عملیات رویای کار" شناخته می شود. این فیلم توسط گروه لازاروس ، بازیگر APT (تهدید پایدار پیشرفته) مرتبط با کره شمالی تنظیم شده است. هدف اصلی Operation Dream Job جذب کارکنانی است که در سازمان‌هایی با منافع استراتژیک کار می‌کنند. مهاجمان از وعده فرصت های شغلی جذاب به عنوان طعمه برای شروع زنجیره عفونت استفاده می کنند، با هدف نهایی به خطر انداختن سیستم ها و داده های اهداف خود.

یک زنجیره حمله چند مرحله ای بدافزار LightlessCan را ارائه می دهد

زنجیره حمله زمانی آغاز می‌شود که فرد مورد نظر از طریق لینکدین پیامی از سوی یک استخدام‌کننده متقلب که ادعا می‌کند نماینده پلتفرم‌های متا است، ارسال می‌شود. این استخدام کننده جعلی سپس به ارسال دو چالش کدنویسی، ظاهراً به عنوان بخشی از فرآیند استخدام، ادامه می دهد. آنها با موفقیت قربانی را متقاعد کردند که این فایل‌های آزمایشی را که بر روی یک پلتفرم ذخیره‌سازی ابری شخص ثالث میزبانی می‌شوند و Quiz1.iso و Quiz2.iso نامگذاری شده‌اند را متقاعد کردند.

همانطور که کارشناسان امنیت سایبری شناسایی کرده‌اند، این فایل‌های ISO حاوی فایل‌های باینری مخربی هستند که با نام‌های Quiz1.exe و Quiz2.exe شناخته می‌شوند. از قربانیان انتظار می رود فایل ها را روی دستگاهی که شرکت مورد نظر ارائه کرده است دانلود و اجرا کنند. انجام این کار باعث می شود سیستم به خطر بیفتد و منجر به نقض شبکه شرکتی شود.

این نقض در را برای استقرار یک دانلود کننده HTTP(S) معروف به NickelLoader باز می کند. با این ابزار، مهاجمان این توانایی را به دست می آورند که هر برنامه مورد نظر را مستقیماً به حافظه رایانه قربانی تزریق کنند. در میان برنامه های به کار گرفته شده، تروجان دسترسی از راه دور LightlessCan و گونه ای از BLINDINGCAN ، معروف به miniBlindingCan (همچنین به عنوان AIRDRY.V2 نامیده می شود) بود. این ابزارهای تهدیدآمیز می‌توانند به مهاجمان دسترسی و کنترل از راه دور سیستم در معرض خطر را فراهم کنند.

LightlessCan بیانگر تکامل آرسنال قدرتمند لازاروس است

نگران کننده ترین جنبه حمله حول معرفی یک محموله جدید به نام LightlessCan است. این ابزار پیچیده در مقایسه با مدل قبلی خود BLINDINGCAN (همچنین به عنوان AIDRY یا ZetaNile شناخته می شود) پیشرفت قابل توجهی در قابلیت های مضر نشان می دهد. BLINDINGCAN قبلاً یک بدافزار غنی از ویژگی‌ها بود که قادر به استخراج اطلاعات حساس از میزبان‌های در معرض خطر بود.

LightlessCan به پشتیبانی از حداکثر 68 فرمان مجزا مجهز شده است، اگرچه نسخه فعلی آن تنها 43 مورد از این دستورات را با حداقل برخی عملکردها شامل می شود. همانطور که برای miniBlindingCan، در درجه اول وظایفی مانند انتقال اطلاعات سیستم و دانلود فایل های بازیابی شده از یک سرور راه دور را انجام می دهد.

از ویژگی های قابل توجه این کمپین اجرای گاردریل های اعدام است. این اقدامات از رمزگشایی و اجرای محموله‌ها بر روی هر ماشینی غیر از دستگاه قربانی مورد نظر جلوگیری می‌کند.

LightlessCan به گونه ای طراحی شده است که عملکردهای بسیاری از دستورات بومی ویندوز را شبیه سازی کند. این به RAT اجازه می دهد تا اجرای محتاطانه را در درون خود انجام دهد و از نیاز به عملیات کنسول نویزدار اجتناب کند. این تغییر استراتژیک، پنهان کاری را افزایش می دهد و شناسایی و تجزیه و تحلیل فعالیت های مهاجم را چالش برانگیزتر می کند.