लाइटलेसक्यान मालवेयर

साइबर अपराधीहरूले स्पेनको एक अज्ञात एयरोस्पेस कम्पनी विरुद्ध जासुसी हमला गरे। यस घटनामा, धम्की अभिनेताहरूले कम्पनीका कर्मचारीहरूलाई लक्षित गर्न मेटा (पहिले फेसबुक) सँग सम्बद्ध एक भर्तीकर्ताको भेषमा ग्रहण गरे। यी कर्मचारीहरूलाई जालसाजी भर्तीकर्ताद्वारा LinkedIn मार्फत सम्पर्क गरिएको थियो र पछि धम्कीपूर्ण कार्यान्वयनयोग्य फाइल डाउनलोड र खोल्न ठगियो। भ्रामक फाइल कोडिङ चुनौती वा क्विजको रूपमा प्रस्तुत गरिएको थियो। सम्झौता गरिएका प्रणालीहरू पछि लाइटलेसक्यानको रूपमा ट्र्याक गरिएको पहिलेको अज्ञात ब्याकडोर खतराबाट संक्रमित भएका थिए।

यो साइबर आक्रमण "अपरेसन ड्रीम जब" भनेर चिनिने राम्रोसँग स्थापित भाला-फिसिङ अभियानको हिस्सा हो। यो उत्तर कोरियासँग जोडिएको एपीटी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) अभिनेता लाजरस समूहद्वारा आयोजना गरिएको हो। अपरेशन ड्रीम जॉबको प्राथमिक उद्देश्य रणनीतिक चासोका संस्थाहरूमा काम गरिरहेका कर्मचारीहरूलाई प्रलोभन दिनु हो। आक्रमणकारीहरूले आफ्नो लक्ष्यको प्रणाली र डेटामा सम्झौता गर्ने अन्तिम लक्ष्यको साथ, संक्रमण श्रृंखला सुरु गर्न आकर्षक रोजगारीका अवसरहरू प्रलोभनको रूपमा प्रयोग गर्छन्।

एक बहु-चरण आक्रमण श्रृंखलाले लाइटलेसक्यान मालवेयर प्रदान गर्दछ

आक्रमणको श्रृंखला सुरु हुन्छ जब लक्षित व्यक्तिलाई मेटा प्लेटफर्महरू प्रतिनिधित्व गर्ने दावी गर्ने धोखाधडी भर्तीकर्ताबाट लिङ्क्डइन मार्फत सन्देश पठाइन्छ। यो बोगस भर्तीकर्ताले भर्ती प्रक्रियाको एक भागको रूपमा देखिन्छ, दुई कोडिङ चुनौतीहरू पठाउन अगाडि बढ्छ। तिनीहरूले ती परीक्षण फाइलहरू कार्यान्वयन गर्न पीडितलाई सफलतापूर्वक विश्वस्त गरे, जुन तेस्रो-पक्ष क्लाउड भण्डारण प्लेटफर्ममा होस्ट गरिएको छ र Quiz1.iso र Quiz2.iso नाम दिइएको छ।

साइबरसुरक्षा विशेषज्ञहरूले पहिचान गरे अनुसार, यी ISO फाइलहरूले Quiz1.exe र Quiz2.exe भनेर चिनिने दुर्भावनापूर्ण बाइनरी फाइलहरू बोक्छन्। पीडितहरूले लक्षित कम्पनीले उपलब्ध गराएको यन्त्रमा फाइलहरू डाउनलोड गरी कार्यान्वयन गर्ने अपेक्षा गरिन्छ। त्यसो गर्नाले प्रणालीमा सम्झौता हुने, कर्पोरेट सञ्जालको उल्लङ्घनको परिणाम हुनेछ।

यो उल्लङ्घनले NickelLoader भनेर चिनिने HTTP(S) डाउनलोडरको प्रयोगको लागि ढोका खोल्छ। यस उपकरणको साथ, आक्रमणकारीहरूले कुनै पनि इच्छित प्रोग्रामलाई सिधै पीडितको कम्प्युटरको मेमोरीमा इन्जेक्ट गर्ने क्षमता प्राप्त गर्छन्। तैनाथ गरिएका कार्यक्रमहरू मध्ये LightlessCan रिमोट एक्सेस ट्रोजन र BLINDINGCAN को एक संस्करण थियो, जसलाई miniBlindingCan भनिन्छ (AIRDRY.V2 पनि भनिन्छ)। यी धम्की दिने उपकरणहरूले आक्रमणकारीहरूलाई रिमोट पहुँच र सम्झौता प्रणालीमा नियन्त्रण प्रदान गर्न सक्छ।

लाइटलेसक्यानले लाजरसको शक्तिशाली आर्सेनलको विकासको प्रतिनिधित्व गर्दछ

आक्रमणको सबैभन्दा सम्बन्धित पक्ष LightlessCan नामको उपन्यास पेलोडको परिचयको वरिपरि घुम्छ। यो परिष्कृत उपकरणले यसको पूर्ववर्ती BLINDINGCAN (AIDRY वा ZetaNile को रूपमा पनि चिनिन्छ) को तुलनामा हानिकारक क्षमताहरूमा उल्लेखनीय प्रगति देखाउँछ। BLINDINGCAN पहिले नै एक सुविधा सम्पन्न मालवेयर थियो जुन सम्झौता गरिएका होस्टहरूबाट संवेदनशील जानकारी निकाल्न सक्षम थियो।

LightlessCan 68 अलग-अलग आदेशहरूको लागि समर्थन संग सुसज्जित छ, यद्यपि यसको हालको संस्करणले कम्तिमा केही कार्यक्षमताको साथ यी आदेशहरू मध्ये 43 मात्र समावेश गर्दछ। miniBlindingCan को लागि, यसले मुख्य रूपमा प्रणाली जानकारी प्रसारण गर्ने र रिमोट सर्भरबाट प्राप्त फाइलहरू डाउनलोड गर्ने जस्ता कार्यहरू ह्यान्डल गर्दछ।

यस अभियानको एउटा उल्लेखनीय विशेषता भनेको कार्यान्वयन रेलिङको कार्यान्वयन हो। यी उपायहरूले पेलोडहरूलाई डिक्रिप्ट गर्न र अभिप्रेत पीडित मध्ये एक बाहेक कुनै पनि मेसिनमा कार्यान्वयन हुनबाट रोक्छ।

LightlessCan धेरै नेटिभ विन्डोज आदेशहरूको कार्यक्षमता अनुकरण गर्ने तरिकामा सञ्चालन गर्न डिजाइन गरिएको हो। यसले RAT लाई आफैं भित्र विवेकी कार्यान्वयन गर्न अनुमति दिन्छ, शोर कन्सोल अपरेशनहरूको आवश्यकतालाई बेवास्ता गर्दै। यो रणनीतिक परिवर्तनले आक्रमणकारीका गतिविधिहरू पत्ता लगाउन र विश्लेषण गर्न थप चुनौतीपूर्ण बनाउँदै गुप्तता बढाउँछ।