LightlessCan Malware
Penjenayah siber telah melakukan serangan pengintipan terhadap sebuah syarikat aeroangkasa yang tidak didedahkan di Sepanyol. Dalam kejadian ini, pelakon ancaman menyamar sebagai perekrut yang bergabung dengan Meta (dahulunya Facebook) untuk menyasarkan pekerja syarikat. Pekerja ini telah dihubungi melalui LinkedIn oleh perekrut yang menipu dan kemudiannya diperdaya untuk memuat turun dan membuka fail boleh laku yang mengancam. Fail yang mengelirukan telah dibentangkan sebagai cabaran pengekodan atau kuiz. Sistem yang terjejas kemudiannya dijangkiti dengan ancaman pintu belakang yang tidak diketahui sebelum ini yang dikesan sebagai LightlessCan.
Serangan siber ini adalah sebahagian daripada kempen pancingan lembing yang mantap yang dikenali sebagai "Operation Dream Job." Ia didalangi oleh Kumpulan Lazarus , pelakon APT (Advanced Persistent Threat) yang dikaitkan dengan Korea Utara. Objektif utama Operation Dream Job adalah untuk menarik pekerja yang bekerja dalam organisasi yang mempunyai kepentingan strategik. Penyerang menggunakan janji peluang pekerjaan yang menarik sebagai umpan untuk memulakan rantaian jangkitan, dengan matlamat utama untuk menjejaskan sistem dan data sasaran mereka.
Rantaian Serangan Berbilang Peringkat Menyampaikan Perisian Hasad LightlessCan
Rantaian serangan bermula apabila individu yang disasarkan dihantar mesej melalui LinkedIn daripada perekrut penipuan yang mendakwa mewakili Platform Meta. Perekrut palsu ini kemudiannya meneruskan untuk menghantar dua cabaran pengekodan, nampaknya sebagai sebahagian daripada proses pengambilan. Mereka berjaya meyakinkan mangsa untuk melaksanakan fail ujian ini, yang dihoskan pada platform penyimpanan awan pihak ketiga dan dinamakan Quiz1.iso dan Quiz2.iso.
Seperti yang dikenal pasti oleh pakar keselamatan siber, fail ISO ini membawa fail binari berniat jahat yang dikenali sebagai Quiz1.exe dan Quiz2.exe. Mangsa dijangka memuat turun dan melaksanakan fail pada peranti yang disediakan oleh syarikat yang disasarkan. Melakukannya akan mengakibatkan sistem menjadi terjejas, yang membawa kepada pelanggaran rangkaian korporat.
Pelanggaran ini membuka pintu untuk penggunaan pemuat turun HTTP(S) yang dikenali sebagai NickelLoader. Dengan alat ini, penyerang mendapat keupayaan untuk menyuntik sebarang program yang dikehendaki terus ke dalam memori komputer mangsa. Antara program yang digunakan ialah Trojan akses jauh LightlessCan dan varian BLINDINGCAN , dikenali sebagai miniBlindingCan (juga dirujuk sebagai AIRDRY.V2). Alat yang mengancam ini boleh memberikan penyerang akses jauh dan kawalan ke atas sistem yang terjejas.
LightlessCan Mewakili Evolusi Arsenal Perkasa Lazarus
Aspek paling membimbangkan serangan itu berkisar pada pengenalan muatan novel bernama LightlessCan. Alat canggih ini mempamerkan kemajuan ketara dalam keupayaan berbahaya jika dibandingkan dengan pendahulunya, BLINDINGCAN (juga dikenali sebagai AIDRY atau ZetaNile). BLINDINGCAN sudah pun menjadi perisian hasad yang kaya dengan ciri yang mampu mengekstrak maklumat sensitif daripada hos yang terjejas.
LightlessCan dilengkapi dengan sokongan untuk sehingga 68 arahan yang berbeza, walaupun versi semasanya hanya menggabungkan 43 daripada arahan ini dengan sekurang-kurangnya beberapa fungsi. Bagi miniBlindingCan, ia terutamanya mengendalikan tugas seperti menghantar maklumat sistem dan memuat turun fail yang diambil dari pelayan jauh.
Ciri yang perlu diberi perhatian dalam kempen ini ialah pelaksanaan pagar penghadang pelaksanaan. Langkah-langkah ini menghalang muatan daripada dinyahsulit dan dilaksanakan pada mana-mana mesin selain daripada mangsa yang dimaksudkan.
LightlessCan direka bentuk untuk beroperasi dengan cara yang meniru fungsi pelbagai arahan Windows asli. Ini membolehkan RAT melakukan pelaksanaan yang bijak dalam dirinya sendiri, mengelakkan keperluan untuk operasi konsol yang bising. Anjakan strategik ini meningkatkan kesembunyian, menjadikannya lebih mencabar untuk mengesan dan menganalisis aktiviti penyerang.
