Złośliwe oprogramowanie LightlessCan

Cyberprzestępcy przeprowadzili atak szpiegowski na nieujawnioną firmę z branży lotniczej w Hiszpanii. W tym incydencie cyberprzestępcy przyjęli postać rekrutera powiązanego z Meta (dawniej Facebook), aby obrać za cel pracowników firmy. Nieuczciwy rekruter skontaktował się z tymi pracownikami za pośrednictwem LinkedIn, a następnie oszukany w celu pobrania i otwarcia groźnego pliku wykonywalnego. Zwodniczy plik został przedstawiony jako wyzwanie lub quiz dotyczący kodowania. Zaatakowane systemy zostały następnie zainfekowane nieznanym wcześniej zagrożeniem typu backdoor, śledzonym jako LightlessCan.

Ten cyberatak jest częścią dobrze znanej kampanii phishingu typu spear, znanej jako „Operacja Dream Job”. Organizuje je Lazarus Group , ugrupowanie APT (Advanced Persistent Threat) powiązane z Koreą Północną. Podstawowym celem Operacji Dream Job jest przyciągnięcie pracowników pracujących w organizacjach o strategicznym znaczeniu. Napastnicy wykorzystują obietnicę atrakcyjnych możliwości zatrudnienia jako przynętę do zainicjowania łańcucha infekcji, którego ostatecznym celem jest złamanie systemów i danych swoich celów.

Wieloetapowy łańcuch ataków dostarcza złośliwe oprogramowanie LightlessCan

Łańcuch ataków rozpoczyna się w momencie, gdy do docelowej osoby zostanie wysłana wiadomość za pośrednictwem LinkedIn od fałszywej osoby rekrutującej podającej się za przedstawiciela Meta Platforms. Następnie ten fałszywy rekruter wysyła dwa wyzwania związane z kodowaniem, pozornie w ramach procesu rekrutacji. Udało im się przekonać ofiarę do wykonania plików testowych, które są hostowane na platformie przechowywania danych w chmurze innej firmy i nazywane Quiz1.iso i Quiz2.iso.

Jak ustalili eksperci ds. cyberbezpieczeństwa, te pliki ISO zawierają złośliwe pliki binarne znane jako Quiz1.exe i Quiz2.exe. Oczekuje się, że ofiary pobiorą i uruchomią pliki na urządzeniu dostarczonym przez zaatakowaną firmę. Spowoduje to naruszenie bezpieczeństwa systemu i włamanie do sieci korporacyjnej.

To naruszenie otwiera drzwi do wdrożenia narzędzia do pobierania HTTP(S) znanego jako NickelLoader. Dzięki temu narzędziu napastnicy zyskują możliwość wstrzyknięcia dowolnego programu bezpośrednio do pamięci komputera ofiary. Wśród wdrożonych programów znalazł się trojan zdalnego dostępu LightlessCan oraz odmiana BLINDINGCAN , znana jako miniBlindingCan (określana również jako AIRDRY.V2). Te groźne narzędzia mogą zapewnić atakującym zdalny dostęp i kontrolę nad zaatakowanym systemem.

LightlessCan reprezentuje ewolucję potężnego arsenału Łazarza

Najbardziej niepokojący aspekt ataku dotyczy wprowadzenia nowatorskiego ładunku o nazwie LightlessCan. To wyrafinowane narzędzie wykazuje znaczny postęp w zakresie szkodliwych możliwości w porównaniu do swojego poprzednika, BLINDINGCAN (znanego również jako AIDRY lub ZetaNile). BLINDINGCAN był już bogatym w funkcje złośliwym oprogramowaniem zdolnym do wydobywania poufnych informacji z zainfekowanych hostów.

LightlessCan obsługuje do 68 różnych poleceń, choć jego aktualna wersja zawiera tylko 43 z tych poleceń z przynajmniej pewną funkcjonalnością. Jeśli chodzi o miniBlindingCan, obsługuje on przede wszystkim zadania takie jak przesyłanie informacji o systemie i pobieranie plików pobranych ze zdalnego serwera.

Godną uwagi cechą tej kampanii jest zastosowanie poręczy wykonawczych. Środki te uniemożliwiają odszyfrowanie i wykonanie ładunku na maszynie innej niż ta, na której znajduje się zamierzona ofiara.

LightlessCan został zaprojektowany do działania w sposób emulujący funkcjonalność wielu natywnych poleceń systemu Windows. Pozwala to RATowi na dyskretne wykonywanie zadań w sobie, unikając konieczności wykonywania hałaśliwych operacji na konsoli. Ta strategiczna zmiana zwiększa niewidzialność, utrudniając wykrycie i analizę działań atakującego.