LightlessCan Malware

Kriminelët kibernetikë kanë ekzekutuar një sulm spiunazhi kundër një kompanie të pazbuluar të hapësirës ajrore në Spanjë. Në këtë incident, aktorët e kërcënimit morën maskën e një rekrutuesi të lidhur me Metën (ish-Facebook) për të synuar punonjësit e kompanisë. Këta punonjës u kontaktuan përmes LinkedIn nga rekrutuesi mashtrues dhe më pas u mashtruan për të shkarkuar dhe hapur një skedar të ekzekutueshëm kërcënues. Skedari mashtrues u paraqit si një sfidë kodimi ose kuiz. Sistemet e komprometuara më pas u infektuan me një kërcënim të panjohur më parë nga prapavija e gjurmuar si LightlessCan.

Ky sulm kibernetik është pjesë e një fushate të mirë-krijuar spear-phishing të njohur si "Operation Dream Job". Është orkestruar nga Grupi Lazarus , një aktor APT (Kërcënimi i Përparuar i Përparuar) i lidhur me Korenë e Veriut. Objektivi kryesor i Operation Dream Job është të joshë punonjësit që punojnë brenda organizatave me interes strategjik. Sulmuesit përdorin premtimin e mundësive tërheqëse të punës si karrem për të inicuar zinxhirin e infeksionit, me qëllimin përfundimtar të kompromentimit të sistemeve dhe të dhënave të objektivave të tyre.

Një zinxhir sulmi me shumë faza jep malware LightlessCan

Zinxhiri i sulmit fillon kur individit të synuar i dërgohet një mesazh nëpërmjet LinkedIn nga një rekrutues mashtrues që pretendon se përfaqëson platformat Meta. Ky rekrutues fals më pas vazhdon të dërgojë dy sfida kodimi, me sa duket si pjesë e procesit të rekrutimit. Ata e bindën me sukses viktimën që të ekzekutonte këto skedarë testimi, të cilët janë të vendosur në një platformë të ruajtjes së cloud të palëve të treta dhe të quajtura Quiz1.iso dhe Quiz2.iso.

Siç kanë identifikuar ekspertët e sigurisë kibernetike, këta skedarë ISO mbajnë skedarë binare me qëllim të keq të njohur si Quiz1.exe dhe Quiz2.exe. Viktimat pritet të shkarkojnë dhe ekzekutojnë skedarët në një pajisje të ofruar nga kompania e synuar. Të bësh këtë do të rezultojë në komprometimin e sistemit, duke çuar në një shkelje të rrjetit të korporatës.

Kjo shkelje hap derën për vendosjen e një shkarkuesi HTTP(S) të njohur si NickelLoader. Me këtë mjet, sulmuesit fitojnë aftësinë për të injektuar çdo program të dëshiruar drejtpërdrejt në kujtesën e kompjuterit të viktimës. Ndër programet e vendosura ishin trojani i qasjes në distancë LightlessCan dhe një variant i BLINDINGCAN , i njohur si miniBlindingCan (i referuar edhe si AIRDRY.V2). Këto mjete kërcënuese mund t'u japin sulmuesve qasje në distancë dhe kontroll mbi sistemin e komprometuar.

LightlessCan përfaqëson një evolucion të Arsenalit të fuqishëm të Lazarus

Aspekti më shqetësues i sulmit sillet rreth prezantimit të një ngarkese të re të quajtur LightlessCan. Ky mjet i sofistikuar shfaq një përparim të rëndësishëm në aftësitë e dëmshme kur krahasohet me paraardhësin e tij, BLINDINGCAN (i njohur gjithashtu si AIDRY ose ZetaNile). BLINDINGCAN ishte tashmë një malware i pasur me veçori, i aftë për të nxjerrë informacione të ndjeshme nga hostet e komprometuar.

LightlessCan është i pajisur me mbështetje për deri në 68 komanda të veçanta, megjithëse versioni i tij aktual përfshin vetëm 43 nga këto komanda me të paktën disa funksionalitete. Sa i përket miniBlindingCan, ai kryesisht trajton detyra të tilla si transmetimi i informacionit të sistemit dhe shkarkimi i skedarëve të marrë nga një server në distancë.

Një karakteristikë e veçantë e kësaj fushate është zbatimi i parmave të ekzekutimit. Këto masa parandalojnë deshifrimin dhe ekzekutimin e ngarkesave të dobishme në çdo makinë tjetër përveç asaj të viktimës së synuar.

LightlessCan është krijuar për të funksionuar në një mënyrë që imiton funksionalitetet e komandave të shumta vendase të Windows. Kjo lejon që RAT të kryejë ekzekutim të matur brenda vetes, duke shmangur nevojën për operacione të zhurmshme të konsolës. Ky ndryshim strategjik rrit fshehtësinë, duke e bërë më sfidues zbulimin dhe analizimin e aktiviteteve të sulmuesit.