LightlessCan-malware

Cybercriminelen hebben een spionageaanval uitgevoerd op een niet nader genoemd lucht- en ruimtevaartbedrijf in Spanje. Bij dit incident namen de dreigingsactoren de gedaante aan van een recruiter aangesloten bij Meta (voorheen Facebook) om zich te richten op de werknemers van het bedrijf. Deze werknemers werden via LinkedIn benaderd door de frauduleuze recruiter en vervolgens misleid om een bedreigend uitvoerbaar bestand te downloaden en te openen. Het misleidende bestand werd gepresenteerd als een codeeruitdaging of quiz. De gecompromitteerde systemen werden vervolgens geïnfecteerd met een voorheen onbekende achterdeurdreiging, bijgehouden als LightlessCan.

Deze cyberaanval maakt deel uit van een gevestigde spearphishing-campagne die bekend staat als 'Operatie Dream Job'. Het wordt georkestreerd door de Lazarus Group , een APT-acteur (Advanced Persistent Threat) die banden heeft met Noord-Korea. Het primaire doel van Operatie Dream Job is het lokken van medewerkers die werkzaam zijn binnen organisaties van strategisch belang. De aanvallers gebruiken de belofte van aantrekkelijke werkgelegenheid als lokaas om de infectieketen op gang te brengen, met als uiteindelijk doel de systemen en gegevens van hun doelwitten in gevaar te brengen.

Een aanvalsketen in meerdere fasen levert de LightlessCan-malware

De aanvalsketen begint wanneer de beoogde persoon via LinkedIn een bericht ontvangt van een frauduleuze recruiter die beweert Meta Platforms te vertegenwoordigen. Deze nep-recruiter stuurt vervolgens twee codeeruitdagingen, schijnbaar als onderdeel van het rekruteringsproces. Ze hebben het slachtoffer met succes overtuigd om deze testbestanden uit te voeren, die worden gehost op een cloudopslagplatform van derden en genaamd Quiz1.iso en Quiz2.iso.

Zoals cyberbeveiligingsexperts hebben vastgesteld, bevatten deze ISO-bestanden kwaadaardige binaire bestanden die bekend staan als Quiz1.exe en Quiz2.exe. Van de slachtoffers wordt verwacht dat ze de bestanden downloaden en uitvoeren op een apparaat dat door het beoogde bedrijf wordt verstrekt. Als u dit wel doet, raakt het systeem gecompromitteerd, wat leidt tot een inbreuk op het bedrijfsnetwerk.

Deze inbreuk opent de deur voor de inzet van een HTTP(S)-downloader bekend als NickelLoader. Met deze tool krijgen de aanvallers de mogelijkheid om elk gewenst programma rechtstreeks in het geheugen van de computer van het slachtoffer te injecteren. Onder de geïmplementeerde programma's bevonden zich de LightlessCan Trojan voor externe toegang en een variant van BLINDINGCAN , bekend als miniBlindingCan (ook wel AIRDRY.V2 genoemd). Deze bedreigende tools kunnen de aanvallers op afstand toegang en controle geven over het aangetaste systeem.

LightlessCan vertegenwoordigt een evolutie van het krachtige arsenaal van Lazarus

Het meest zorgwekkende aspect van de aanval draait om de introductie van een nieuwe lading genaamd LightlessCan. Deze geavanceerde tool vertoont een aanzienlijke vooruitgang op het gebied van schadelijke mogelijkheden in vergelijking met zijn voorganger, BLINDINGCAN (ook bekend als AIDRY of ZetaNile). BLINDINGCAN was al een malware met veel functies die gevoelige informatie van gecompromitteerde hosts kon extraheren.

LightlessCan is uitgerust met ondersteuning voor maximaal 68 verschillende commando's, hoewel de huidige versie slechts 43 van deze commando's bevat met tenminste enige functionaliteit. MiniBlindingCan voert voornamelijk taken uit zoals het verzenden van systeeminformatie en het downloaden van bestanden die zijn opgehaald van een externe server.

Een opmerkelijk kenmerk van deze campagne is de implementatie van executieleuningen. Deze maatregelen voorkomen dat de payloads worden gedecodeerd en uitgevoerd op een andere machine dan die van het beoogde slachtoffer.

LightlessCan is ontworpen om te werken op een manier die de functionaliteiten van talrijke native Windows-opdrachten emuleert. Hierdoor kan de RAT discrete uitvoering binnen zichzelf uitvoeren, waardoor luidruchtige consolebewerkingen worden vermeden. Deze strategische verschuiving vergroot de stealth-functie, waardoor het een grotere uitdaging wordt om de activiteiten van de aanvaller te detecteren en analyseren.