Malware LightlessCan

Infractorii cibernetici au executat un atac de spionaj împotriva unei companii aerospațiale nedezvăluite din Spania. În acest incident, actorii amenințărilor și-au asumat prefața unui recrutor afiliat Meta (fostă Facebook) pentru a viza angajații companiei. Acești angajați au fost contactați prin LinkedIn de către recrutorul fraudulos și, ulterior, au fost înșelați să descarce și să deschidă un fișier executabil amenințător. Fișierul înșelător a fost prezentat ca o provocare de codare sau un test. Sistemele compromise au fost ulterior infectate cu o amenințare backdoor necunoscută anterior, urmărită ca LightlessCan.

Acest atac cibernetic face parte dintr-o campanie de spear-phishing bine stabilită, cunoscută sub numele de „Operațiunea Dream Job”. Este orchestrată de Lazarus Group , un actor APT (Advanced Persistent Threat) legat de Coreea de Nord. Obiectivul principal al Operation Dream Job este de a atrage angajații care lucrează în cadrul organizațiilor de interes strategic. Atacatorii folosesc promisiunea unor oportunități de muncă atractive ca momeală pentru a iniția lanțul de infecție, cu scopul final de a compromite sistemele și datele țintelor lor.

Un lanț de atac în mai multe etape oferă malware LightlessCan

Lanțul de atac începe atunci când individului vizat primește un mesaj prin LinkedIn de la un recrutor fraudulos care pretinde că reprezintă Meta Platforms. Acest recrutor fals trece apoi să trimită două provocări de codificare, aparent ca parte a procesului de recrutare. Au convins cu succes victima să execute aceste fișiere de testare, care sunt găzduite pe o platformă de stocare în cloud terță parte și denumite Quiz1.iso și Quiz2.iso.

După cum au identificat experții în securitate cibernetică, aceste fișiere ISO poartă fișiere binare rău intenționate cunoscute sub numele de Quiz1.exe și Quiz2.exe. Victimele sunt așteptate să descarce și să execute fișierele pe un dispozitiv furnizat de compania vizată. Procedând astfel, sistemul va deveni compromis, ceea ce duce la o încălcare a rețelei corporative.

Această încălcare deschide ușa pentru implementarea unui program de descărcare HTTP(S) cunoscut sub numele de NickelLoader. Cu acest instrument, atacatorii dobândesc capacitatea de a injecta orice program dorit direct în memoria computerului victimei. Printre programele implementate s-au numărat troianul de acces la distanță LightlessCan și o variantă a lui BLINDINGCAN , cunoscută sub numele de miniBlindingCan (numit și AIRDRY.V2). Aceste instrumente amenințătoare ar putea acorda atacatorilor acces și control de la distanță asupra sistemului compromis.

LightlessCan reprezintă o evoluție a puternicului Arsenal al lui Lazăr

Cel mai îngrijorător aspect al atacului se învârte în jurul introducerii unei noi încărcături utile, numită LightlessCan. Acest instrument sofisticat prezintă un progres semnificativ în ceea ce privește capabilitățile dăunătoare în comparație cu predecesorul său, BLINDINGCAN (cunoscut și ca AIDRY sau ZetaNile). BLINDINGCAN era deja un malware bogat în funcții capabil să extragă informații sensibile de la gazde compromise.

LightlessCan este echipat cu suport pentru până la 68 de comenzi distincte, deși versiunea sa actuală încorporează doar 43 dintre aceste comenzi cu cel puțin unele funcționalități. În ceea ce privește miniBlindingCan, acesta se ocupă în primul rând de sarcini precum transmiterea informațiilor despre sistem și descărcarea fișierelor preluate de pe un server la distanță.

O caracteristică demnă de remarcat a acestei campanii este implementarea balustradelor de execuție. Aceste măsuri împiedică încărcările utile să fie decriptate și executate pe orice altă mașină decât cea a victimei vizate.

LightlessCan este proiectat să funcționeze într-un mod care emulează funcționalitățile numeroaselor comenzi Windows native. Acest lucru permite RAT să efectueze o execuție discretă în sine, evitând necesitatea operațiunilor zgomotoase ale consolei. Această schimbare strategică îmbunătățește ascunsitatea, făcând mai dificilă detectarea și analizarea activităților atacatorului.