بدافزار LightlessCan
مجرمان سایبری یک حمله جاسوسی علیه یک شرکت هوافضای نامعلوم در اسپانیا انجام دادند. در این حادثه، عوامل تهدید، ظاهر استخدامکنندهای وابسته به متا (فیسبوک سابق) را برای هدف قرار دادن کارمندان شرکت به خود گرفتند. این کارمندان از طریق لینکدین توسط استخدام کننده کلاهبردار تماس گرفتند و متعاقبا فریب خوردند تا یک فایل اجرایی تهدیدآمیز را دانلود و باز کنند. فایل فریبنده به عنوان چالش کدنویسی یا مسابقه ارائه شد. سیستمهای در معرض خطر متعاقباً با یک تهدید درب پشتی ناشناخته قبلی که تحت عنوان LightlessCan ردیابی شده بود، آلوده شدند.
این حمله سایبری بخشی از یک کمپین تثبیت شده فیشینگ نیزه ای است که به نام "عملیات رویای کار" شناخته می شود. این فیلم توسط گروه لازاروس ، بازیگر APT (تهدید پایدار پیشرفته) مرتبط با کره شمالی تنظیم شده است. هدف اصلی Operation Dream Job جذب کارکنانی است که در سازمانهایی با منافع استراتژیک کار میکنند. مهاجمان از وعده فرصت های شغلی جذاب به عنوان طعمه برای شروع زنجیره عفونت استفاده می کنند، با هدف نهایی به خطر انداختن سیستم ها و داده های اهداف خود.
یک زنجیره حمله چند مرحله ای بدافزار LightlessCan را ارائه می دهد
زنجیره حمله زمانی آغاز میشود که فرد مورد نظر از طریق لینکدین پیامی از سوی یک استخدامکننده متقلب که ادعا میکند نماینده پلتفرمهای متا است، ارسال میشود. این استخدام کننده جعلی سپس به ارسال دو چالش کدنویسی، ظاهراً به عنوان بخشی از فرآیند استخدام، ادامه می دهد. آنها با موفقیت قربانی را متقاعد کردند که این فایلهای آزمایشی را که بر روی یک پلتفرم ذخیرهسازی ابری شخص ثالث میزبانی میشوند و Quiz1.iso و Quiz2.iso نامگذاری شدهاند را متقاعد کردند.
همانطور که کارشناسان امنیت سایبری شناسایی کردهاند، این فایلهای ISO حاوی فایلهای باینری مخربی هستند که با نامهای Quiz1.exe و Quiz2.exe شناخته میشوند. از قربانیان انتظار می رود فایل ها را روی دستگاهی که شرکت مورد نظر ارائه کرده است دانلود و اجرا کنند. انجام این کار باعث می شود سیستم به خطر بیفتد و منجر به نقض شبکه شرکتی شود.
این نقض در را برای استقرار یک دانلود کننده HTTP(S) معروف به NickelLoader باز می کند. با این ابزار، مهاجمان این توانایی را به دست می آورند که هر برنامه مورد نظر را مستقیماً به حافظه رایانه قربانی تزریق کنند. در میان برنامه های به کار گرفته شده، تروجان دسترسی از راه دور LightlessCan و گونه ای از BLINDINGCAN ، معروف به miniBlindingCan (همچنین به عنوان AIRDRY.V2 نامیده می شود) بود. این ابزارهای تهدیدآمیز میتوانند به مهاجمان دسترسی و کنترل از راه دور سیستم در معرض خطر را فراهم کنند.
LightlessCan بیانگر تکامل آرسنال قدرتمند لازاروس است
نگران کننده ترین جنبه حمله حول معرفی یک محموله جدید به نام LightlessCan است. این ابزار پیچیده در مقایسه با مدل قبلی خود BLINDINGCAN (همچنین به عنوان AIDRY یا ZetaNile شناخته می شود) پیشرفت قابل توجهی در قابلیت های مضر نشان می دهد. BLINDINGCAN قبلاً یک بدافزار غنی از ویژگیها بود که قادر به استخراج اطلاعات حساس از میزبانهای در معرض خطر بود.
LightlessCan به پشتیبانی از حداکثر 68 فرمان مجزا مجهز شده است، اگرچه نسخه فعلی آن تنها 43 مورد از این دستورات را با حداقل برخی عملکردها شامل می شود. همانطور که برای miniBlindingCan، در درجه اول وظایفی مانند انتقال اطلاعات سیستم و دانلود فایل های بازیابی شده از یک سرور راه دور را انجام می دهد.
از ویژگی های قابل توجه این کمپین اجرای گاردریل های اعدام است. این اقدامات از رمزگشایی و اجرای محمولهها بر روی هر ماشینی غیر از دستگاه قربانی مورد نظر جلوگیری میکند.
LightlessCan به گونه ای طراحی شده است که عملکردهای بسیاری از دستورات بومی ویندوز را شبیه سازی کند. این به RAT اجازه می دهد تا اجرای محتاطانه را در درون خود انجام دهد و از نیاز به عملیات کنسول نویزدار اجتناب کند. این تغییر استراتژیک، پنهان کاری را افزایش می دهد و شناسایی و تجزیه و تحلیل فعالیت های مهاجم را چالش برانگیزتر می کند.