LightlessCan 악성 코드

사이버 범죄자들이 스페인의 비공개 항공우주 회사를 대상으로 간첩 공격을 감행했습니다. 이번 사건에서 공격자들은 메타(구 페이스북) 계열 채용 담당자로 가장해 회사 직원들을 표적으로 삼았다. 이 직원들은 사기 채용 담당자로부터 LinkedIn을 통해 연락을 받았고 이후 위협적인 실행 파일을 다운로드하고 열도록 속였습니다. 사기성 파일이 코딩 챌린지나 퀴즈로 제시되었습니다. 손상된 시스템은 이후 LightlessCan으로 추적되는 이전에 알려지지 않은 백도어 위협에 감염되었습니다.

이 사이버 공격은 "Operation Dream Job"으로 알려진 확고한 스피어 피싱 캠페인의 일부입니다. 이는 북한과 연계된 APT(Advanced Persistant Threat) 행위자인 라자루스 그룹(Lazarus Group )이 조직합니다. Operation Dream Job의 주요 목표는 전략적 관심을 갖고 있는 조직 내에서 일하는 직원을 유치하는 것입니다. 공격자는 매력적인 직업 기회를 미끼로 삼아 감염 체인을 시작하고 궁극적인 목표는 대상의 시스템과 데이터를 손상시키는 것입니다.

LightlessCan 악성 코드를 전달하는 다단계 공격 체인

공격 체인은 메타 플랫폼을 대표한다고 주장하는 사기 모집자로부터 LinkedIn을 통해 대상 개인에게 메시지를 보낼 때 시작됩니다. 그런 다음 이 가짜 채용 담당자는 채용 프로세스의 일부인 것처럼 보이는 두 가지 코딩 과제를 보냅니다. 그들은 피해자가 타사 클라우드 스토리지 플랫폼에서 호스팅되고 Quiz1.iso 및 Quiz2.iso라는 이름의 테스트 파일을 실행하도록 성공적으로 설득했습니다.

사이버 보안 전문가가 확인한 바와 같이 이러한 ISO 파일에는 Quiz1.exe 및 Quiz2.exe로 알려진 악성 바이너리 파일이 포함되어 있습니다. 피해자들은 대상 기업이 제공한 기기에서 해당 파일을 다운로드해 실행할 것으로 예상된다. 그렇게 하면 시스템이 손상되어 회사 네트워크가 침해될 수 있습니다.

이번 침해로 인해 NickelLoader로 알려진 HTTP(S) 다운로더 배포의 문이 열렸습니다. 이 도구를 사용하여 공격자는 원하는 프로그램을 피해자의 컴퓨터 메모리에 직접 주입할 수 있는 능력을 얻습니다. 배포된 프로그램 중에는 LightlessCan 원격 액세스 트로이 목마와 miniBlindingCan(AIRDRY.V2라고도 함)으로 알려진 BLINDINGCAN 변종이 있었습니다. 이러한 위협적인 도구는 공격자에게 손상된 시스템에 대한 원격 액세스 및 제어 권한을 부여할 수 있습니다.

LightlessCan은 Lazarus의 강력한 무기고의 진화를 나타냅니다.

이 공격의 가장 우려스러운 측면은 LightlessCan이라는 새로운 페이로드의 도입과 관련이 있습니다. 이 정교한 도구는 이전 버전인 BLINDINGCAN(AIDRY 또는 ZetaNile이라고도 함)에 비해 유해한 기능이 크게 향상되었습니다. BLINDINGCAN은 이미 손상된 호스트에서 민감한 정보를 추출할 수 있는 기능이 풍부한 악성코드였습니다.

LightlessCan은 최대 68개의 개별 명령을 지원하지만 현재 버전에는 최소한 일부 기능과 함께 이러한 명령 중 43개만 통합되어 있습니다. miniBlindingCan의 경우 주로 시스템 정보 전송, 원격 서버에서 검색된 파일 다운로드 등의 작업을 처리합니다.

이번 캠페인의 주목할만한 특징은 실행 가드레일 구현입니다. 이러한 조치는 페이로드가 해독되어 의도된 피해자가 아닌 다른 컴퓨터에서 실행되는 것을 방지합니다.

LightlessCan은 수많은 기본 Windows 명령의 기능을 에뮬레이트하는 방식으로 작동하도록 설계되었습니다. 이를 통해 RAT는 자체적으로 신중한 실행을 수행할 수 있어 시끄러운 콘솔 작업이 필요하지 않습니다. 이러한 전략적 변화는 은폐성을 강화하여 공격자의 활동을 탐지하고 분석하는 것을 더욱 어렵게 만듭니다.