תוכנה זדונית LightlessCan

פושעי סייבר ביצעו מתקפת ריגול נגד חברת תעופה וחלל לא ידועה בספרד. בתקרית זו לבשו שחקני האיום במסווה של מגייס המזוהה עם Meta (לשעבר פייסבוק) כדי למקד את עובדי החברה. עובדים אלה פנו דרך לינקדאין על ידי המגייס המרמה, ובעקבות זאת הונו כדי להוריד ולפתוח קובץ הפעלה מאיים. הקובץ המטעה הוצג כאתגר קידוד או חידון. המערכות שנפרצו הודבקו לאחר מכן באיום דלת אחורית שלא היה ידוע קודם לכן, שנחקק כ-LightlessCan.

מתקפת הסייבר הזו היא חלק ממסע דיוג מבוסס היטב המכונה "מבצע חלום ג'וב". הוא מתוזמר על ידי קבוצת לזרוס , שחקן APT (Advanced Persistent Threat) המקושר לצפון קוריאה. המטרה העיקרית של מבצע Dream Job היא לפתות עובדים שעובדים בתוך ארגונים בעלי עניין אסטרטגי. התוקפים משתמשים בהבטחה להזדמנויות עבודה אטרקטיביות כפיתיון כדי ליזום את שרשרת ההדבקה, במטרה סופית לסכן את המערכות והנתונים של מטרותיהם.

שרשרת התקפה רב-שלבית מספקת את התוכנה הזדונית LightlessCan

שרשרת ההתקפה מתחילה כאשר לאדם הממוקד נשלח הודעה דרך לינקדאין ממגייס הונאה שטוען שהוא מייצג את Meta Platforms. המגייס המזויף הזה ממשיך לשלוח שני אתגרי קידוד, לכאורה כחלק מתהליך הגיוס. הם הצליחו לשכנע את הקורבן לבצע את קובצי הבדיקה הללו, שמתארחים בפלטפורמת אחסון ענן של צד שלישי ושמותיהם Quiz1.iso ו-Quiz2.iso.

כפי שמומחי אבטחת סייבר זיהו, קבצי ISO אלו נושאים קבצים בינאריים זדוניים הידועים בשם Quiz1.exe ו-Quiz2.exe. הקורבנות צפויים להוריד ולהפעיל את הקבצים במכשיר שסופק על ידי החברה הממוקדת. פעולה זו תגרום לפגיעה במערכת, מה שיוביל לפריצה של הרשת הארגונית.

הפרה זו פותחת את הדלת לפריסה של הורדת HTTP(S) המכונה NickelLoader. בעזרת כלי זה, התוקפים זוכים ליכולת להחדיר כל תוכנית רצויה ישירות לזיכרון המחשב של הקורבן. בין התוכניות שנפרסו היו ה-Trojan לגישה מרחוק LightlessCan וגרסה של BLINDINGCAN , המכונה miniBlindingCan (המכונה גם AIRDRY.V2). הכלים המאיימים הללו יכולים להעניק לתוקפים גישה מרחוק ושליטה על המערכת שנפרצה.

LightlessCan מייצג אבולוציה של ארסנל העוצמתי של לזרוס

ההיבט המדאיג ביותר של המתקפה סובב סביב הצגת מטען חדש בשם LightlessCan. כלי מתוחכם זה מציג התקדמות משמעותית ביכולות מזיקות בהשוואה לקודמו, BLINDINGCAN (הידוע גם בשם AIDRY או ZetaNile). BLINDINGCAN כבר הייתה תוכנה זדונית עשירה בתכונות המסוגלת לחלץ מידע רגיש ממארחים שנפגעו.

LightlessCan מצויד בתמיכה בעד 68 פקודות נפרדות, אם כי הגרסה הנוכחית שלו משלבת רק 43 מהפקודות הללו עם פונקציונליות מסוימת לפחות. באשר ל-miniBlindingCan, הוא מטפל בעיקר במשימות כמו העברת מידע מערכת והורדת קבצים שאוחזרו משרת מרוחק.

מאפיין ראוי לציון של קמפיין זה הוא יישום מעקות בטיחות להורג. אמצעים אלה מונעים את פענוח המטענים וביצועם בכל מכונה שאינה זו של הקורבן המיועד.

LightlessCan תוכנן לפעול בצורה המחקה את הפונקציונליות של פקודות Windows מקוריות רבות. זה מאפשר ל-RAT לבצע ביצוע דיסקרטי בתוך עצמו, תוך הימנעות מהצורך בפעולות קונסולה רועשות. שינוי אסטרטגי זה משפר את התגנבות, מה שהופך אותו למאתגר יותר לזהות ולנתח את פעילויות התוקף.