LightlessCan Malware

Kibernetički kriminalci izveli su špijunski napad na neobjavljenu zrakoplovnu tvrtku u Španjolskoj. U ovom incidentu akteri prijetnje preuzeli su masku regruta povezanog s Metom (bivši Facebook) kako bi ciljali na zaposlenike tvrtke. Lažni regrut kontaktirao je ove zaposlenike putem LinkedIna i nakon toga ih je prevario da preuzmu i otvore prijeteću izvršnu datoteku. Varljiva datoteka predstavljena je kao izazov kodiranja ili kviz. Kompromitirani sustavi naknadno su zaraženi dosad nepoznatom backdoor prijetnjom praćenom kao LightlessCan.

Ovaj kibernetički napad dio je dobro uspostavljene phishing kampanje poznate kao "Operacija Posao iz snova". Orkestrirao ga je Lazarus Group , akter APT-a (Advanced Persistent Threat) povezan sa Sjevernom Korejom. Primarni cilj Operacije Posao iz snova je privući zaposlenike koji rade u organizacijama od strateškog interesa. Napadači koriste obećanje atraktivnih radnih mjesta kao mamac za pokretanje lanca infekcije, s krajnjim ciljem kompromitiranja sustava i podataka svojih meta.

Lanac napada u više faza isporučuje zlonamjerni softver LightlessCan

Lanac napada počinje kada ciljanoj osobi pošalje poruku putem LinkedIna od lažnog regrutera koji tvrdi da predstavlja Meta Platforms. Ovaj lažni regrut zatim šalje dva izazova kodiranja, naizgled kao dio procesa regrutiranja. Uspješno su uvjerili žrtvu da izvrši te testne datoteke, koje se nalaze na platformi za pohranu u oblaku treće strane i nazivaju se Quiz1.iso i Quiz2.iso.

Kao što su stručnjaci za kibernetičku sigurnost identificirali, ove ISO datoteke sadrže zlonamjerne binarne datoteke poznate kao Quiz1.exe i Quiz2.exe. Od žrtava se očekuje da preuzmu i izvrše datoteke na uređaju koji je osigurala ciljana tvrtka. To će rezultirati kompromitacijom sustava, što će dovesti do proboja korporativne mreže.

Ovo kršenje otvara vrata za implementaciju HTTP(S) preuzimača poznatog kao NickelLoader. Pomoću ovog alata napadači dobivaju mogućnost ubacivanja bilo kojeg željenog programa izravno u memoriju žrtvinog računala. Među implementiranim programima bili su LightlessCan trojanac za daljinski pristup i varijanta BLINDINGCAN- a, poznata kao miniBlindingCan (također se naziva AIRDRY.V2). Ovi prijeteći alati mogli bi napadačima omogućiti daljinski pristup i kontrolu nad ugroženim sustavom.

LightlessCan predstavlja evoluciju Lazarusovog moćnog arsenala

Aspekt napada koji najviše zabrinjava vrti se oko uvođenja novog korisnog opterećenja pod nazivom LightlessCan. Ovaj sofisticirani alat pokazuje značajan napredak u štetnim sposobnostima u usporedbi sa svojim prethodnikom, BLINDINGCAN (također poznat kao AIDRY ili ZetaNile). BLINDINGCAN je već bio zlonamjerni softver bogat značajkama koji je mogao izvući osjetljive informacije iz kompromitiranih hostova.

LightlessCan je opremljen podrškom za do 68 različitih naredbi, iako njegova trenutna verzija uključuje samo 43 od tih naredbi s barem nekom funkcionalnošću. Što se tiče miniBlindingCan-a, on primarno obrađuje zadatke poput prijenosa informacija o sustavu i preuzimanja datoteka preuzetih s udaljenog poslužitelja.

Karakteristika vrijedna pažnje ove kampanje je ugradnja zaštitnih ograda. Ove mjere sprječavaju dešifriranje i izvršavanje korisnih podataka na bilo kojem drugom stroju osim na onom namijenjene žrtve.

LightlessCan je dizajniran za rad na način koji emulira funkcionalnosti brojnih izvornih Windows naredbi. To omogućuje RAT-u diskretno izvršavanje unutar sebe, izbjegavajući potrebu za bučnim operacijama konzole. Ova strateška promjena poboljšava skrivenost, čineći otkrivanje i analizu aktivnosti napadača još većim izazovom.