Malware LightlessCan

I criminali informatici hanno eseguito un attacco di spionaggio contro un'azienda aerospaziale sconosciuta in Spagna. In questo incidente, gli autori della minaccia hanno assunto le sembianze di un reclutatore affiliato a Meta (ex Facebook) per prendere di mira i dipendenti dell'azienda. Questi dipendenti sono stati contattati tramite LinkedIn dal reclutatore fraudolento e successivamente sono stati indotti a scaricare e aprire un file eseguibile minaccioso. Il file ingannevole è stato presentato come una sfida di codifica o un quiz. I sistemi compromessi sono stati successivamente infettati da una minaccia backdoor precedentemente sconosciuta, identificata come LightlessCan.

Questo attacco informatico fa parte di una campagna di spear phishing ben consolidata nota come "Operazione Dream Job". È orchestrato dal Lazarus Group , un attore APT (Advanced Persistent Threat) legato alla Corea del Nord. L'obiettivo principale dell'Operazione Dream Job è attirare dipendenti che lavorano all'interno di organizzazioni di interesse strategico. Gli aggressori utilizzano la promessa di interessanti opportunità di lavoro come esca per avviare la catena dell'infezione, con l'obiettivo finale di compromettere i sistemi e i dati dei loro obiettivi.

Una catena di attacco in più fasi diffonde il malware LightlessCan

La catena di attacco inizia quando all'individuo preso di mira viene inviato un messaggio tramite LinkedIn da un reclutatore fraudolento che afferma di rappresentare Meta Platforms. Questo reclutatore fasullo procede quindi a inviare due sfide di codifica, apparentemente come parte del processo di reclutamento. Hanno convinto con successo la vittima a eseguire questi file di prova, che sono ospitati su una piattaforma di archiviazione cloud di terze parti e denominati Quiz1.iso e Quiz2.iso.

Come hanno identificato gli esperti di sicurezza informatica, questi file ISO contengono file binari dannosi noti come Quiz1.exe e Quiz2.exe. Si prevede che le vittime scarichino ed eseguano i file su un dispositivo fornito dall'azienda presa di mira. Ciò comporterebbe la compromissione del sistema, con conseguente violazione della rete aziendale.

Questa violazione apre le porte all'implementazione di un downloader HTTP(S) noto come NickelLoader. Con questo strumento gli aggressori hanno la possibilità di iniettare qualsiasi programma desiderato direttamente nella memoria del computer della vittima. Tra i programmi utilizzati figuravano il trojan di accesso remoto LightlessCan e una variante di BLINDINGCAN , nota come miniBlindingCan (nota anche come AIRDRY.V2). Questi strumenti minacciosi potrebbero garantire agli aggressori l'accesso remoto e il controllo sul sistema compromesso.

LightlessCan rappresenta un'evoluzione del potente arsenale di Lazarus

L'aspetto più preoccupante dell'attacco ruota attorno all'introduzione di un nuovo carico utile chiamato LightlessCan. Questo sofisticato strumento mostra un significativo progresso nelle capacità dannose rispetto al suo predecessore, BLINDINGCAN (noto anche come AIDRY o ZetaNile). BLINDINGCAN era già un malware ricco di funzionalità in grado di estrarre informazioni sensibili da host compromessi.

LightlessCan è dotato di supporto per un massimo di 68 comandi distinti, sebbene la sua versione attuale incorpori solo 43 di questi comandi con almeno alcune funzionalità. Per quanto riguarda miniBlindingCan, gestisce principalmente attività come la trasmissione di informazioni di sistema e il download di file recuperati da un server remoto.

Una caratteristica degna di nota di questa campagna è l’implementazione di guardrail per l’esecuzione. Queste misure impediscono che i payload vengano decrittografati ed eseguiti su qualsiasi macchina diversa da quella della vittima designata.

LightlessCan è progettato per funzionare in modo da emulare le funzionalità di numerosi comandi nativi di Windows. Ciò consente al RAT di eseguire un'esecuzione discreta al suo interno, evitando la necessità di operazioni rumorose sulla console. Questo cambiamento strategico migliora la segretezza, rendendo più difficile rilevare e analizzare le attività dell'aggressore.