लाइटलेसकैन मैलवेयर
साइबर अपराधियों ने स्पेन में एक अज्ञात एयरोस्पेस कंपनी के खिलाफ जासूसी हमले को अंजाम दिया है। इस घटना में, धमकी देने वालों ने कंपनी के कर्मचारियों को निशाना बनाने के लिए मेटा (पूर्व में फेसबुक) से जुड़े एक भर्तीकर्ता की आड़ ली। इन कर्मचारियों से लिंक्डइन के माध्यम से धोखाधड़ी करने वाले भर्तीकर्ता द्वारा संपर्क किया गया था और बाद में एक धमकी भरी निष्पादन योग्य फ़ाइल को डाउनलोड करने और खोलने में धोखा दिया गया था। भ्रामक फ़ाइल को कोडिंग चुनौती या प्रश्नोत्तरी के रूप में प्रस्तुत किया गया था। समझौता किए गए सिस्टम को बाद में लाइटलेसकैन के रूप में ट्रैक किए गए पहले अज्ञात पिछले दरवाजे के खतरे से संक्रमित किया गया था।
यह साइबर हमला एक सुस्थापित स्पीयर-फ़िशिंग अभियान का हिस्सा है जिसे "ऑपरेशन ड्रीम जॉब" के नाम से जाना जाता है। इसका आयोजन उत्तर कोरिया से जुड़े एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) अभिनेता लाजर ग्रुप द्वारा किया गया है। ऑपरेशन ड्रीम जॉब का प्राथमिक उद्देश्य उन कर्मचारियों को लुभाना है जो रणनीतिक हित वाले संगठनों में काम कर रहे हैं। हमलावर अपने लक्ष्य के सिस्टम और डेटा से समझौता करने के अंतिम लक्ष्य के साथ, संक्रमण श्रृंखला शुरू करने के लिए आकर्षक नौकरी के अवसरों के वादे का उपयोग प्रलोभन के रूप में करते हैं।
एक मल्टी-स्टेज अटैक चेन लाइटलेसकैन मैलवेयर वितरित करती है
हमले की श्रृंखला तब शुरू होती है जब लक्षित व्यक्ति को मेटा प्लेटफ़ॉर्म का प्रतिनिधित्व करने का दावा करने वाले एक धोखेबाज भर्तीकर्ता से लिंक्डइन के माध्यम से एक संदेश भेजा जाता है। इसके बाद यह फर्जी भर्तीकर्ता भर्ती प्रक्रिया के एक भाग के रूप में दो कोडिंग चुनौतियां भेजने के लिए आगे बढ़ता है। उन्होंने पीड़ित को इन परीक्षण फ़ाइलों को निष्पादित करने के लिए सफलतापूर्वक मना लिया, जो एक तृतीय-पक्ष क्लाउड स्टोरेज प्लेटफ़ॉर्म पर होस्ट की गई हैं और जिन्हें क्विज़1.आईएसओ और क्विज़2.आईएसओ नाम दिया गया है।
जैसा कि साइबर सुरक्षा विशेषज्ञों ने पहचाना है, इन आईएसओ फाइलों में दुर्भावनापूर्ण बाइनरी फाइलें होती हैं जिन्हें क्विज़1.exe और क्विज़2.exe के नाम से जाना जाता है। पीड़ितों से अपेक्षा की जाती है कि वे लक्षित कंपनी द्वारा उपलब्ध कराए गए डिवाइस पर फ़ाइलें डाउनलोड करें और निष्पादित करें। ऐसा करने से सिस्टम से समझौता हो जाएगा, जिससे कॉर्पोरेट नेटवर्क में सेंध लग जाएगी।
यह उल्लंघन NickelLoader नामक HTTP(S) डाउनलोडर की तैनाती का द्वार खोलता है। इस उपकरण के साथ, हमलावर किसी भी वांछित प्रोग्राम को सीधे पीड़ित के कंप्यूटर की मेमोरी में इंजेक्ट करने की क्षमता हासिल कर लेते हैं। तैनात किए गए कार्यक्रमों में लाइटलेसकैन रिमोट एक्सेस ट्रोजन और ब्लाइंडिंगकैन का एक प्रकार था, जिसे मिनीब्लाइंडिंगकैन (जिसे AIRDRY.V2 भी कहा जाता है) के रूप में जाना जाता है। ये धमकी देने वाले उपकरण हमलावरों को समझौता किए गए सिस्टम पर दूरस्थ पहुंच और नियंत्रण प्रदान कर सकते हैं।
लाइटलेसकैन लाजर के शक्तिशाली शस्त्रागार के विकास का प्रतिनिधित्व करता है
हमले का सबसे चिंताजनक पहलू लाइटलेसकैन नामक एक नए पेलोड की शुरूआत के इर्द-गिर्द घूमता है। यह परिष्कृत उपकरण अपने पूर्ववर्ती, BLINDINGCAN (जिसे AIDRY या ZetaNile के रूप में भी जाना जाता है) की तुलना में हानिकारक क्षमताओं में महत्वपूर्ण प्रगति प्रदर्शित करता है। BLINDINGCAN पहले से ही एक सुविधा संपन्न मैलवेयर था जो समझौता किए गए होस्ट से संवेदनशील जानकारी निकालने में सक्षम था।
लाइटलेसकैन 68 अलग-अलग कमांड के लिए समर्थन से लैस है, हालांकि इसके वर्तमान संस्करण में कम से कम कुछ कार्यक्षमता के साथ इनमें से केवल 43 कमांड शामिल हैं। जहां तक मिनीब्लाइंडिंगकैन की बात है, यह मुख्य रूप से सिस्टम जानकारी प्रसारित करने और रिमोट सर्वर से प्राप्त फ़ाइलों को डाउनलोड करने जैसे कार्यों को संभालता है।
इस अभियान की एक उल्लेखनीय विशेषता निष्पादन रेलिंग का कार्यान्वयन है। ये उपाय पेलोड को इच्छित पीड़ित के अलावा किसी अन्य मशीन पर डिक्रिप्ट और निष्पादित होने से रोकते हैं।
लाइटलेसकैन को इस तरह से संचालित करने के लिए डिज़ाइन किया गया है जो कई मूल विंडोज़ कमांड की कार्यक्षमता का अनुकरण करता है। यह RAT को शोर वाले कंसोल संचालन की आवश्यकता से बचते हुए, अपने भीतर विवेकपूर्ण निष्पादन करने की अनुमति देता है। यह रणनीतिक बदलाव गोपनीयता को बढ़ाता है, जिससे हमलावर की गतिविधियों का पता लगाना और उनका विश्लेषण करना अधिक चुनौतीपूर्ण हो जाता है।
