LightlessCan Malware

Nettkriminelle har utført et spionasjeangrep mot et ikke avslørt luftfartsselskap i Spania. I denne hendelsen tok trusselaktørene på seg forkledning av en rekrutterer tilknyttet Meta (tidligere Facebook) for å målrette selskapets ansatte. Disse ansatte ble kontaktet gjennom LinkedIn av den uredelige rekruttereren og ble deretter lurt til å laste ned og åpne en truende kjørbar fil. Den villedende filen ble presentert som en kodeutfordring eller quiz. De kompromitterte systemene ble deretter infisert med en tidligere ukjent bakdørstrussel sporet som LightlessCan.

Dette nettangrepet er en del av en veletablert spyd-phishing-kampanje kjent som «Operation Dream Job». Den er orkestrert av Lazarus Group , en APT-skuespiller (Advanced Persistent Threat) knyttet til Nord-Korea. Hovedmålet med Operation Dream Job er å lokke medarbeidere som jobber i organisasjoner av strategisk interesse. Angriperne bruker løftet om attraktive jobbmuligheter som lokkemiddel for å sette i gang infeksjonskjeden, med det endelige målet å kompromittere målenes systemer og data.

En flertrinns angrepskjede leverer LightlessCan Malware

Angrepskjeden begynner når den målrettede personen får tilsendt en melding via LinkedIn fra en uredelig rekrutterer som hevder å representere Meta-plattformer. Denne falske rekruttereren fortsetter deretter med å sende to kodeutfordringer, tilsynelatende som en del av rekrutteringsprosessen. De overbeviste offeret med hell om å kjøre disse testfilene, som er vert på en tredjeparts skylagringsplattform og heter Quiz1.iso og Quiz2.iso.

Som cybersikkerhetseksperter har identifisert, inneholder disse ISO-filene ondsinnede binære filer kjent som Quiz1.exe og Quiz2.exe. Ofre forventes å laste ned og kjøre filene på en enhet levert av det målrettede selskapet. Å gjøre det vil føre til at systemet blir kompromittert, noe som fører til brudd på bedriftsnettverket.

Dette bruddet åpner døren for distribusjon av en HTTP(S)-nedlaster kjent som NickelLoader. Med dette verktøyet får angriperne muligheten til å injisere et hvilket som helst ønsket program direkte inn i minnet til offerets datamaskin. Blant programmene som ble distribuert var LightlessCan-trojaneren for ekstern tilgang og en variant av BLINDINGCAN , kjent som miniBlindingCan (også referert til som AIRDRY.V2). Disse truende verktøyene kan gi angriperne ekstern tilgang og kontroll over det kompromitterte systemet.

LightlessCan representerer en utvikling av Lazarus' kraftige Arsenal

Angrepets mest bekymringsfulle aspekt dreier seg om introduksjonen av en ny nyttelast kalt LightlessCan. Dette sofistikerte verktøyet viser en betydelig fremgang når det gjelder skadelige egenskaper sammenlignet med forgjengeren, BLINDINGCAN (også kjent som AIDRY eller ZetaNile). BLINDINGCAN var allerede en funksjonsrik skadelig programvare som var i stand til å trekke ut sensitiv informasjon fra kompromitterte verter.

LightlessCan er utstyrt med støtte for opptil 68 distinkte kommandoer, selv om den nåværende versjonen inneholder bare 43 av disse kommandoene med minst en viss funksjonalitet. Når det gjelder miniBlindingCan, håndterer den først og fremst oppgaver som å overføre systeminformasjon og laste ned filer hentet fra en ekstern server.

Et bemerkelsesverdig kjennetegn ved denne kampanjen er implementeringen av henrettelsesrekkverk. Disse tiltakene forhindrer at nyttelastene blir dekryptert og utført på en annen maskin enn den tiltenkte offeret.

LightlessCan er designet for å fungere på en måte som emulerer funksjonaliteten til en rekke native Windows-kommandoer. Dette lar RAT utføre diskret utførelse i seg selv, og unngår behovet for støyende konsolloperasjoner. Dette strategiske skiftet øker snikingen, og gjør det mer utfordrende å oppdage og analysere angriperens aktiviteter.