„LightlessCan“ kenkėjiška programa

Kibernetiniai nusikaltėliai įvykdė šnipinėjimo ataką prieš neskelbtą aviacijos ir kosmoso kompaniją Ispanijoje. Šio incidento metu grėsmės veikėjai prisiėmė su „Meta“ (buvusiu „Facebook“) susijusio verbuotojo kaukę, siekdami nusitaikyti į įmonės darbuotojus. Su šiais darbuotojais per „LinkedIn“ susisiekė apgaulingas verbuotojas, o vėliau jie buvo apgauti, kad atsisiųstų ir atidarytų grėsmingą vykdomąjį failą. Apgaulingas failas buvo pateiktas kaip kodavimo iššūkis arba viktorina. Pažeistos sistemos vėliau buvo užkrėstos anksčiau nežinoma užpakalinių durų grėsme, sekama kaip LightlessCan.

Ši kibernetinė ataka yra nusistovėjusios sukčiavimo spygliuočių kampanijos, žinomos kaip „Operacija Dream Job“, dalis. Ją orkestruoja Lazarus Group , APT (Advanced Persistent Threat) aktorius, susijęs su Šiaurės Korėja. Pagrindinis „Operation Dream Job“ tikslas yra pritraukti darbuotojus, dirbančius strateginės svarbos organizacijose. Užpuolikai naudojasi pažadais sudaryti patrauklias darbo galimybes kaip masalą, kad inicijuotų infekcijos grandinę, siekiant galutinio tikslo pakenkti jų taikinių sistemoms ir duomenims.

Daugiapakopė atakų grandinė pristato „LightlessCan“ kenkėjišką programą

Atakos grandinė prasideda, kai asmeniui, į kurį buvo nukreipta, per LinkedIn išsiunčia pranešimą iš apgaulingo verbuotojo, teigiančio, kad jis atstovauja Meta platformoms. Tada šis netikras verbuotojas siunčia du kodavimo iššūkius, atrodo, kaip įdarbinimo proceso dalį. Jie sėkmingai įtikino auką atlikti šiuos bandomuosius failus, kurie yra talpinami trečiosios šalies debesų saugyklos platformoje ir pavadinti Quiz1.iso ir Quiz2.iso.

Kaip nustatė kibernetinio saugumo ekspertai, šiuose ISO failuose yra kenkėjiškų dvejetainių failų, žinomų kaip Quiz1.exe ir Quiz2.exe. Tikimasi, kad aukos atsisiųs ir vykdys failus įrenginyje, kurį teikia tikslinė įmonė. Tai padarius, sistema bus pažeista ir bus pažeistas įmonės tinklas.

Šis pažeidimas atveria duris HTTP(S) atsisiuntimo programai, žinomai kaip NickelLoader, įdiegimui. Naudodamiesi šiuo įrankiu, užpuolikai įgyja galimybę bet kurią norimą programą suleisti tiesiai į aukos kompiuterio atmintį. Tarp įdiegtų programų buvo nuotolinės prieigos Trojos arklys LightlessCan ir BLINDINGCAN variantas, žinomas kaip miniBlindingCan (taip pat vadinamas AIRDRY.V2). Šie grėsmingi įrankiai gali suteikti užpuolikams nuotolinę prieigą ir valdyti pažeistą sistemą.

„LightlessCan“ reiškia galingo Lozoriaus arsenalo evoliuciją

Labiausiai susirūpinęs atakos aspektas sukasi apie naujo naudingo krovinio, pavadinto LightlessCan, pristatymą. Šis sudėtingas įrankis, palyginti su jo pirmtaku, BLINDINGCAN (taip pat žinomas kaip AIDRY arba ZetaNile), pasižymi reikšmingomis žalingų galimybių pažanga. BLINDINGCAN jau buvo daug funkcijų turinti kenkėjiška programa, galinti išgauti neskelbtiną informaciją iš pažeistų kompiuterių.

„LightlessCan“ palaiko iki 68 skirtingų komandų, nors dabartinėje jos versijoje yra tik 43 iš šių komandų su bent tam tikromis funkcijomis. Kalbant apie „miniBlindingCan“, ji pirmiausia atlieka tokias užduotis kaip sistemos informacijos perdavimas ir failų, gautų iš nuotolinio serverio, atsisiuntimas.

Dėmesio vertas šios kampanijos bruožas yra egzekucijos apsauginių turėklų įrengimas. Šios priemonės neleidžia iššifruoti naudingųjų krovinių ir vykdyti juos bet kuriame kitame kompiuteryje, išskyrus numatytą auką.

„LightlessCan“ sukurta veikti taip, kad imituotų daugelio „Windows“ komandų funkcijas. Tai leidžia RAT atlikti diskretišką vykdymą savyje, išvengiant triukšmingų konsolės operacijų. Šis strateginis poslinkis padidina slaptumą, todėl aptikti ir analizuoti užpuoliko veiklą tampa sudėtingiau.