LightlessCan ļaunprātīga programmatūra

Kibernoziedznieki Spānijā veikuši spiegošanas uzbrukumu kādai neatklātai aviācijas un kosmosa kompānijai. Šajā incidentā draudu dalībnieki uzņēmās ar Meta (iepriekš Facebook) saistīta vervētāja aizsegu, lai mērķētu uz uzņēmuma darbiniekiem. Ar šiem darbiniekiem, izmantojot LinkedIn, sazinājās krāpnieciskais vervētājs, un pēc tam viņi tika maldināti, lejupielādējot un atverot draudošu izpildāmo failu. Maldinošais fails tika prezentēts kā kodēšanas izaicinājums vai viktorīna. Kompromitētās sistēmas pēc tam tika inficētas ar iepriekš nezināmu aizmugures durvju draudu, kas izsekots kā LightlessCan.

Šis kiberuzbrukums ir daļa no labi iedibinātas pikšķerēšanas kampaņas, kas pazīstama ar nosaukumu "Operation Dream Job". To organizē ar Ziemeļkoreju saistīts APT (Advanced Persistent Threat) aktieris Lazarus Group . Operācijas Dream Job galvenais mērķis ir piesaistīt darbiniekus, kuri strādā stratēģiskas nozīmes organizācijās. Uzbrucēji izmanto solījumus par pievilcīgām darba iespējām kā ēsmu, lai uzsāktu infekcijas ķēdi, un galvenais mērķis ir apdraudēt viņu mērķu sistēmas un datus.

Daudzpakāpju uzbrukuma ķēde nodrošina LightlessCan ļaunprātīgu programmatūru

Uzbrukuma ķēde sākas, kad mērķa personai, izmantojot LinkedIn, tiek nosūtīts ziņojums no krāpnieciska vervētāja, kas apgalvo, ka pārstāv Meta platformas. Šis viltus vervētājs pēc tam nosūta divus kodēšanas izaicinājumus, šķietami kā daļu no darbā pieņemšanas procesa. Viņi veiksmīgi pārliecināja upuri izpildīt šos testa failus, kas tiek mitināti trešās puses mākoņu krātuves platformā un nosaukti Quiz1.iso un Quiz2.iso.

Kā noskaidrojuši kiberdrošības eksperti, šajos ISO failos ir ļaunprātīgi bināri faili, kas pazīstami kā Quiz1.exe un Quiz2.exe. Paredzams, ka upuri lejupielādēs un izpildīs failus ierīcē, ko nodrošina mērķa uzņēmums. Šādi rīkojoties, sistēma tiks apdraudēta, izraisot korporatīvā tīkla pārkāpumu.

Šis pārkāpums paver durvis HTTP(S) lejupielādētāja, kas pazīstams kā NickelLoader, izvietošanai. Izmantojot šo rīku, uzbrucēji iegūst iespēju ievadīt jebkuru vēlamo programmu tieši upura datora atmiņā. Starp izvietotajām programmām bija LightlessCan attālās piekļuves Trojas zirgs un BLINDINGCAN variants, kas pazīstams kā miniBlindingCan (saukts arī par AIRDRY.V2). Šie draudīgie rīki var nodrošināt uzbrucējiem attālu piekļuvi un kontroli pār apdraudēto sistēmu.

LightlessCan attēlo Lācara spēcīgā arsenāla evolūciju

Uzbrukuma satraucošākais aspekts ir saistīts ar jaunas kravas ar nosaukumu LightlessCan ieviešanu. Salīdzinot ar tā priekšgājēju BLINDINGCAN (pazīstams arī kā AIDRY vai ZetaNile), šim izsmalcinātajam rīkam ir ievērojams kaitīgo iespēju uzlabojums. BLINDINGCAN jau bija ar funkcijām bagāta ļaunprātīga programmatūra, kas spēj iegūt sensitīvu informāciju no apdraudētiem saimniekiem.

LightlessCan ir aprīkots ar atbalstu līdz pat 68 atšķirīgām komandām, lai gan tā pašreizējā versijā ir iekļautas tikai 43 no šīm komandām ar vismaz kādu funkcionalitāti. Kas attiecas uz miniBlindingCan, tas galvenokārt apstrādā tādus uzdevumus kā sistēmas informācijas pārsūtīšana un failu lejupielāde, kas iegūti no attālā servera.

Ievērības cienīgs šīs kampaņas raksturojums ir izpildes aizsargmargu ieviešana. Šie pasākumi neļauj lietderīgās slodzes atšifrēt un izpildīt citās iekārtās, nevis tajā, kurā ir paredzēts upuris.

LightlessCan ir paredzēts darbībai tādā veidā, kas atdarina daudzu vietējo Windows komandu funkcijas. Tas ļauj RAT veikt diskrētu izpildi sevī, izvairoties no trokšņainām konsoles darbībām. Šī stratēģiskā maiņa uzlabo slepenību, padarot uzbrucēja darbību atklāšanu un analizēšanu grūtāku.