Zlonamerna programska oprema LightlessCan

Kibernetski kriminalci so izvedli vohunski napad na nerazkrito vesoljsko podjetje v Španiji. V tem incidentu so akterji grožnje prevzeli krinko zaposlovalca, povezanega z Meto (prej Facebook), da bi ciljali na zaposlene v podjetju. S temi zaposlenimi je prek LinkedIna stopil v stik goljufivi najemnik in jih nato zavedel, da so prenesli in odprli grozečo izvršljivo datoteko. Zavajajoča datoteka je bila predstavljena kot izziv kodiranja ali kviz. Ogroženi sistemi so bili nato okuženi s prej neznano stransko grožnjo, ki je bila sledena kot LightlessCan.

Ta kibernetski napad je del dobro uveljavljene kampanje lažnega predstavljanja, znane kot "Operacija sanjska služba". Ureja ga skupina Lazarus Group , akter APT (Advanced Persistent Threat), povezan s Severno Korejo. Primarni cilj operacije Sanjska služba je privabiti zaposlene, ki delujejo v organizacijah strateškega pomena. Napadalci uporabljajo obljubo o privlačnih zaposlitvenih priložnostih kot vabo za začetek verige okužbe, s končnim ciljem ogroziti sisteme in podatke svojih tarč.

Večstopenjska veriga napadov prinaša zlonamerno programsko opremo LightlessCan

Veriga napada se začne, ko ciljni posameznik prejme sporočilo prek LinkedIna od goljufivega zaposlovalca, ki trdi, da zastopa Meta Platforms. Ta lažni zaposlovalec nato nadaljuje s pošiljanjem dveh izzivov kodiranja, navidezno kot del postopka zaposlovanja. Uspešno so prepričali žrtev, da izvede te testne datoteke, ki gostujejo na platformi za shranjevanje v oblaku tretje osebe in so poimenovane Quiz1.iso in Quiz2.iso.

Kot so ugotovili strokovnjaki za kibernetsko varnost, te datoteke ISO vsebujejo zlonamerne binarne datoteke, znane kot Quiz1.exe in Quiz2.exe. Pričakuje se, da bodo žrtve prenesle in zagnale datoteke v napravi, ki jo zagotovi ciljno podjetje. Če to storite, bo sistem ogrožen, kar bo povzročilo vdor v omrežje podjetja.

Ta kršitev odpira vrata za uvedbo HTTP(S) prenosnika, znanega kot NickelLoader. S tem orodjem napadalci pridobijo možnost vbrizganja katerega koli želenega programa neposredno v pomnilnik računalnika žrtve. Med nameščenimi programi sta bila Trojanec za oddaljeni dostop LightlessCan in različica BLINDINGCAN , znana kot miniBlindingCan (imenovana tudi AIRDRY.V2). Ta grozilna orodja lahko napadalcem omogočijo oddaljeni dostop in nadzor nad ogroženim sistemom.

LightlessCan predstavlja razvoj Lazarjevega močnega arzenala

Najbolj zaskrbljujoč vidik napada se vrti okoli uvedbe novega tovora, imenovanega LightlessCan. To sofisticirano orodje kaže znaten napredek v škodljivih zmožnostih v primerjavi s svojim predhodnikom BLINDINGCAN (znanim tudi kot AIDRY ali ZetaNile). BLINDINGCAN je že bil zlonamerna programska oprema, bogata s funkcijami, ki je lahko pridobila občutljive podatke iz ogroženih gostiteljev.

LightlessCan je opremljen s podporo za do 68 različnih ukazov, čeprav njegova trenutna različica vključuje le 43 od teh ukazov z vsaj nekaj funkcionalnosti. Kar zadeva miniBlindingCan, se ukvarja predvsem z nalogami, kot sta prenos sistemskih informacij in nalaganje datotek, pridobljenih z oddaljenega strežnika.

Posebnost te akcije je izvedba izvedbenih zaščitnih ograj. Ti ukrepi preprečujejo dešifriranje in izvajanje uporabnih obremenitev na katerem koli drugem stroju razen na tistem, ki ga namerava uporabiti.

LightlessCan je zasnovan tako, da deluje na način, ki posnema funkcionalnosti številnih izvornih ukazov sistema Windows. To omogoča RAT-u, da izvaja diskretno izvajanje v sebi in se izogne potrebi po hrupnih operacijah konzole. Ta strateški premik povečuje prikritost, zaradi česar je odkrivanje in analiziranje napadalčevih dejavnosti težje.