LightlessCan haittaohjelma

Kyberrikolliset ovat tehneet vakoiluhyökkäyksen julkistamatonta ilmailualan yritystä vastaan Espanjassa. Tässä tapauksessa uhkatoimijat omaksuivat Metaan (ent. Facebook) kuuluvan rekrytoijan hahmon kohdistaakseen kohteen yrityksen työntekijöihin. Vilpillinen rekrytoija otti yhteyttä näihin työntekijöihin LinkedInin kautta, ja myöhemmin heidät huijattiin lataamaan ja avaamaan uhkaava suoritustiedosto. Harhaanjohtava tiedosto esitettiin koodaushaasteena tai tietokilpailuna. Myöhemmin vaarantuneet järjestelmät saastuivat aiemmin tuntemattomalla takaoven uhalla, jota seurattiin nimellä LightlessCan.

Tämä kyberhyökkäys on osa vakiintunutta keihäänkalastelukampanjaa, joka tunnetaan nimellä "Operation Dream Job". Sen on ohjannut Lazarus Group , APT (Advanced Persistent Threat) -näyttelijä, joka liittyy Pohjois-Koreaan. Operation Dream Jobin ensisijainen tavoite on houkutella työntekijöitä, jotka työskentelevät strategisesti kiinnostavissa organisaatioissa. Hyökkääjät käyttävät lupauksia houkuttelevista työmahdollisuuksista syöttinä käynnistääkseen tartuntaketjun, ja perimmäisenä tavoitteena on vaarantaa kohteensa järjestelmät ja tiedot.

Monivaiheinen hyökkäysketju toimittaa LightlessCan-haittaohjelman

Hyökkäysketju alkaa, kun kohteena olevalle henkilölle lähetetään LinkedInin kautta viesti vilpilliseltä rekrytoijalta, joka väittää edustavansa Meta Platformsia. Tämä valerekrytoija lähettää sitten kaksi koodaushaastetta ilmeisesti osana rekrytointiprosessia. He saivat uhrin onnistuneesti suorittamaan nämä testitiedostot, joita isännöidään kolmannen osapuolen pilvitallennusalustalla ja joiden nimi on Quiz1.iso ja Quiz2.iso.

Kuten kyberturvallisuusasiantuntijat ovat havainneet, nämä ISO-tiedostot sisältävät haitallisia binaaritiedostoja, jotka tunnetaan nimellä Quiz1.exe ja Quiz2.exe. Uhrien odotetaan lataavan ja suorittavan tiedostot kohdeyrityksen toimittamalla laitteella. Tämä johtaa järjestelmän vaarantumiseen, mikä johtaa yritysverkon rikkomiseen.

Tämä rikkomus avaa oven NickelLoader-nimisen HTTP(S)-latausohjelman käyttöönotolle. Tämän työkalun avulla hyökkääjät saavat mahdollisuuden pistää minkä tahansa haluamasi ohjelman suoraan uhrin tietokoneen muistiin. Käytettyjen ohjelmien joukossa olivat LightlessCan-etäkäyttötroijalainen ja BLINDINGCAN -versio, joka tunnetaan nimellä miniBlindingCan (jota kutsutaan myös nimellä AIRDRY.V2). Nämä uhkaavat työkalut voivat antaa hyökkääjille etäkäytön ja hallinnan vaarantuneeseen järjestelmään.

LightlessCan edustaa Lazaruksen voimakkaan arsenaalin kehitystä

Hyökkäyksen huolestuttavin puoli on LightlessCan-nimisen uuden hyötykuorman esittely. Tämä hienostunut työkalu osoittaa merkittävästi edistystä haitallisissa ominaisuuksissa verrattuna edeltäjäänsä, BLINDINGCANiin (tunnetaan myös nimellä AIDRY tai ZetaNile). BLINDINGCAN oli jo ominaisuusrikas haittaohjelma, joka pystyi poimimaan arkaluontoisia tietoja vaarantuneista isännistä.

LightlessCan tukee jopa 68:aa erillistä komentoa, vaikka sen nykyinen versio sisältää vain 43 näistä komennoista ainakin joillain toiminnoilla. Mitä tulee miniBlindingCaniin, se hoitaa ensisijaisesti tehtäviä, kuten järjestelmätietojen välittämisen ja etäpalvelimelta haettujen tiedostojen lataamisen.

Tämän kampanjan huomionarvoinen piirre on teloitussuojakaiteiden käyttöönotto. Nämä toimenpiteet estävät hyötykuormien salauksen purkamisen ja suorittamisen muilla koneilla kuin tarkoitetun uhrin koneella.

LightlessCan on suunniteltu toimimaan tavalla, joka jäljittelee useiden Windowsin alkuperäisten komentojen toimintoja. Tämä antaa RAT:lle mahdollisuuden suorittaa huomaamatonta suoritusta itsessään välttäen meluisten konsolitoimintojen tarvetta. Tämä strateginen muutos lisää varkautta, mikä tekee hyökkääjän toiminnan havaitsemisesta ja analysoinnista haastavampaa.