LightlessCan Malware

Kiberbűnözők kémtámadást hajtottak végre egy nem titkolt repülőgép-ipari vállalat ellen Spanyolországban. Ebben az incidensben a fenyegetés szereplői a Metával (korábban Facebook) kapcsolatban álló toborzó álcáját öltötték magukra, hogy megtámadják a cég alkalmazottait. Ezekkel az alkalmazottakkal a LinkedInen keresztül felvette a kapcsolatot a csaló toborzó, majd megtévesztette őket azzal, hogy letöltöttek és megnyitottak egy fenyegető futtatható fájlt. A megtévesztő fájlt kódolási kihívásként vagy kvízként mutatták be. A feltört rendszereket ezt követően egy LightlessCan néven nyomon követett, korábban ismeretlen hátsó ajtó fenyegetéssel fertőzték meg.

Ez a kibertámadás az „Álommunka hadművelet” néven ismert jól bevált lándzsás adathalász kampány része. A filmet a Lazarus Group , egy Észak-Koreához köthető APT (Advanced Persistent Threat) színész rendezi. Az Operation Dream Job elsődleges célja, hogy olyan alkalmazottakat csábítson, akik stratégiai érdekű szervezetekben dolgoznak. A támadók csaliként használják a vonzó munkalehetőségek ígéretét, hogy elindítsák a fertőzési láncot, azzal a végső céllal, hogy veszélybe sodorják célpontjaik rendszereit és adatait.

Egy többlépcsős támadási lánc szállítja a LightlessCan kártevőt

A támadási lánc akkor kezdődik, amikor a megcélzott személynek a LinkedInen keresztül üzenetet küld egy csaló toborzó, amely azt állítja, hogy Meta Platformokat képvisel. Ez a hamis toborzó ezután két kódolási kihívást küld, látszólag a toborzási folyamat részeként. Sikeresen meggyőzték az áldozatot, hogy hajtsa végre ezeket a tesztfájlokat, amelyek egy harmadik féltől származó felhőalapú tárolási platformon vannak tárolva, és a neve Quiz1.iso és Quiz2.iso.

Amint azt a kiberbiztonsági szakértők megállapították, ezek az ISO-fájlok Quiz1.exe és Quiz2.exe néven ismert rosszindulatú bináris fájlokat hordoznak. Az áldozatoknak le kell tölteniük és futtatniuk kell a fájlokat a célvállalat által biztosított eszközön. Ha így tesz, a rendszer kompromittálódik, ami a vállalati hálózat megsértéséhez vezet.

Ez a jogsértés megnyitja az ajtót a NickelLoader néven ismert HTTP(S) letöltő telepítése előtt. Ezzel az eszközzel a támadók bármilyen kívánt programot közvetlenül az áldozat számítógépének memóriájába fecskendezhetnek. A telepített programok között szerepelt a LightlessCan távoli hozzáférésű trójai és a BLINDINGCAN egy változata, amely miniBlindingCan néven ismert (AIRDRY.V2 néven is szerepel). Ezek a fenyegető eszközök távoli hozzáférést és ellenőrzést biztosíthatnak a támadóknak a feltört rendszer felett.

A LightlessCan Lazarus hatalmas fegyvertárának fejlődését képviseli

A támadás legaggasztóbb aspektusa a LightlessCan nevű újszerű rakomány bemutatása körül forog. Ez a kifinomult eszköz jelentős előrelépést mutat a káros képességek terén, összehasonlítva elődjével, a BLINDINGCAN-nal (más néven AIDRY vagy ZetaNile). A BLINDINGCAN már egy funkciókban gazdag rosszindulatú program volt, amely képes érzékeny információkat kinyerni a feltört gazdagépekről.

A LightlessCan legfeljebb 68 különböző parancsot támogat, bár a jelenlegi verzió csak 43 parancsot tartalmaz legalább néhány funkcióval. Ami a miniBlindingCan-t illeti, elsősorban olyan feladatokat lát el, mint a rendszerinformációk továbbítása és a távoli szerverről letöltött fájlok letöltése.

Figyelemre méltó jellemzője ennek a kampánynak a végrehajtási védőkorlátok megvalósítása. Ezek az intézkedések megakadályozzák a hasznos adatok visszafejtését és végrehajtását a szándékolt áldozattól eltérő gépeken.

A LightlessCan úgy működik, hogy emulálja számos natív Windows-parancs funkcióit. Ez lehetővé teszi a RAT számára, hogy diszkrét végrehajtást hajtson végre magában, elkerülve a zajos konzolműveletek szükségességét. Ez a stratégiai váltás fokozza a lopakodó képességet, és nagyobb kihívást jelent a támadó tevékenységeinek észlelése és elemzése.