Škodlivý softvér LightlessCan

Kyberzločinci vykonali špionážny útok proti neznámej leteckej spoločnosti v Španielsku. V tomto incidente aktéri hrozieb prevzali masku náborového pracovníka pridruženého k spoločnosti Meta (predtým Facebook), aby sa zamerali na zamestnancov spoločnosti. Títo zamestnanci boli kontaktovaní prostredníctvom LinkedIn podvodným náborovým pracovníkom a následne boli oklamaní, aby si stiahli a otvorili hrozivý spustiteľný súbor. Klamlivý súbor bol prezentovaný ako kódovacia výzva alebo kvíz. Kompromitované systémy boli následne infikované predtým neznámou hrozbou backdoor sledovanou ako LightlessCan.

Tento kybernetický útok je súčasťou dobre zavedenej kampane spear-phishing známej ako „Operation Dream Job“. Organizuje ho skupina Lazarus , herec APT (Advanced Persistent Threat) spojený so Severnou Kóreou. Primárnym cieľom operácie Dream Job je prilákať zamestnancov, ktorí pracujú v organizáciách strategického záujmu. Útočníci využívajú prísľub atraktívnych pracovných príležitostí ako návnadu na spustenie infekčného reťazca s konečným cieľom kompromitovať systémy a údaje svojich cieľov.

Viacstupňový útočný reťazec prináša malvér LightlessCan

Reťazec útokov začína, keď je cielenej osobe odoslaná správa cez LinkedIn od podvodného náborového pracovníka, ktorý tvrdí, že zastupuje Meta platformy. Tento falošný náborový pracovník potom odošle dve výzvy na kódovanie, zdanlivo ako súčasť náborového procesu. Úspešne presvedčili obeť, aby vykonala tieto testovacie súbory, ktoré sú hosťované na platforme cloudového úložiska tretej strany s názvom Quiz1.iso a Quiz2.iso.

Ako zistili odborníci na kybernetickú bezpečnosť, tieto súbory ISO nesú škodlivé binárne súbory známe ako Quiz1.exe a Quiz2.exe. Očakáva sa, že obete si stiahnu a spustia súbory na zariadení poskytnutom cieľovou spoločnosťou. Výsledkom bude ohrozenie systému, čo povedie k narušeniu podnikovej siete.

Toto porušenie otvára dvere pre nasadenie sťahovača HTTP(S) známeho ako NickelLoader. Pomocou tohto nástroja útočníci získajú možnosť vstreknúť ľubovoľný požadovaný program priamo do pamäte počítača obete. Medzi nasadenými programami bol trójsky kôň pre vzdialený prístup LightlessCan a variant BLINDINGCAN známy ako miniBlindingCan (označovaný aj ako AIRDRY.V2). Tieto ohrozujúce nástroje by mohli útočníkom poskytnúť vzdialený prístup a kontrolu nad napadnutým systémom.

LightlessCan predstavuje vývoj Lazarovho mocného arzenálu

Najzaujímavejší aspekt útoku sa točí okolo predstavenia nového užitočného zaťaženia s názvom LightlessCan. Tento sofistikovaný nástroj vykazuje výrazný pokrok v škodlivých schopnostiach v porovnaní s jeho predchodcom BLINDINGCAN (známy aj ako AIDRY alebo ZetaNile). BLINDINGCAN už bol malvér bohatý na funkcie, ktorý dokázal extrahovať citlivé informácie z napadnutých hostiteľov.

LightlessCan je vybavený podporou až 68 rôznych príkazov, hoci jeho aktuálna verzia obsahuje iba 43 z týchto príkazov s aspoň nejakou funkcionalitou. Pokiaľ ide o miniBlindingCan, primárne rieši úlohy, ako je prenos systémových informácií a sťahovanie súborov získaných zo vzdialeného servera.

Pozoruhodnou charakteristikou tejto kampane je realizácia popravných mantinelov. Tieto opatrenia zabraňujú dešifrovaniu a spusteniu užitočného zaťaženia na akomkoľvek inom počítači, než je stroj, na ktorom je určená obeť.

LightlessCan je navrhnutý tak, aby fungoval spôsobom, ktorý emuluje funkcie mnohých natívnych príkazov systému Windows. To umožňuje RAT vykonávať diskrétne vykonávanie v sebe, čím sa vyhne potrebe hlučných operácií konzoly. Tento strategický posun zvyšuje utajenie, takže je náročnejšie odhaliť a analyzovať aktivity útočníka.