LightlessCan Вредоносное ПО

Киберпреступники осуществили шпионскую атаку на неназванную аэрокосмическую компанию в Испании. В этом инциденте злоумышленники выдали себя за рекрутера, связанного с Meta (ранее Facebook), чтобы атаковать сотрудников компании. Мошеннический рекрутер связался с этими сотрудниками через LinkedIn, а затем обманом заставил их загрузить и открыть угрожающий исполняемый файл. Обманчивый файл был представлен как задание или викторина по программированию. Впоследствии скомпрометированные системы были заражены ранее неизвестной бэкдорной угрозой, отслеживаемой как LightlessCan.

Эта кибератака является частью хорошо зарекомендовавшей себя целевой фишинговой кампании, известной как «Операция «Работа мечты». Его организовала Lazarus Group , организация APT (Advanced Persistent Threat), связанная с Северной Кореей. Основная цель операции «Работа мечты» — привлечь сотрудников, работающих в организациях, представляющих стратегический интерес. Злоумышленники используют обещание привлекательных возможностей трудоустройства в качестве приманки для запуска цепочки заражения с конечной целью поставить под угрозу системы и данные своих целей.

Многоэтапная цепочка атак доставляет вредоносное ПО LightlessCan

Цепочка атак начинается, когда целевому лицу отправляется сообщение через LinkedIn от мошеннического рекрутера, утверждающего, что он представляет метаплатформы. Затем этот фиктивный рекрутер отправляет два задания по кодированию, по-видимому, как часть процесса набора персонала. Они успешно убедили жертву выполнить эти тестовые файлы, которые размещены на сторонней платформе облачного хранилища и называются Quiz1.iso и Quiz2.iso.

Как установили эксперты по кибербезопасности, эти ISO-файлы содержат вредоносные двоичные файлы, известные как Quiz1.exe и Quiz2.exe. Ожидается, что жертвы загрузят и запустят файлы на устройстве, предоставленном целевой компанией. Это приведет к компрометации системы, что приведет к нарушению целостности корпоративной сети.

Это нарушение открывает возможности для развертывания HTTP(S)-загрузчика, известного как NickelLoader. С помощью этого инструмента злоумышленники получают возможность внедрить любую желаемую программу непосредственно в память компьютера жертвы. Среди развернутых программ были троян удаленного доступа LightlessCan и вариант BLINDINGCAN , известный как miniBlindingCan (также называемый AIRDRY.V2). Эти угрожающие инструменты могут предоставить злоумышленникам удаленный доступ и контроль над скомпрометированной системой.

LightlessCan представляет собой эволюцию мощного арсенала Lazarus

Самый тревожный аспект атаки связан с внедрением новой полезной нагрузки под названием LightlessCan. Этот сложный инструмент демонстрирует значительный прогресс в вредоносных возможностях по сравнению со своим предшественником, BLINDINGCAN (также известным как AIDRY или ZetaNile). BLINDINGCAN уже представлял собой многофункциональное вредоносное ПО, способное извлекать конфиденциальную информацию со скомпрометированных хостов.

LightlessCan поддерживает до 68 различных команд, хотя его текущая версия включает только 43 из этих команд, обладающих хотя бы некоторой функциональностью. Что касается miniBlindingCan, то он в первую очередь решает такие задачи, как передача системной информации и загрузка файлов, полученных с удаленного сервера.

Примечательной особенностью этой кампании является введение ограничений на казнь. Эти меры предотвращают расшифровку и выполнение полезных данных на любой машине, кроме машины предполагаемой жертвы.

LightlessCan предназначен для эмуляции функций многочисленных собственных команд Windows. Это позволяет RAT выполнять незаметное выполнение внутри себя, избегая необходимости выполнять шумные консольные операции. Этот стратегический сдвиг повышает скрытность, усложняя обнаружение и анализ действий злоумышленника.