ЛигхтлессЦан Малваре

Сајбер-криминалци су извршили шпијунски напад на непознату авио-компанију у Шпанији. У овом инциденту, актери претњи преузели су маску регрутера повезаног са Метом (бивши Фацебоок) да би циљали запослене компаније. Ови запослени су контактирани преко ЛинкедИн-а од стране лажног регрута и након тога их је преварио да преузму и отворе претећу извршну датотеку. Обмањујући фајл је представљен као изазов за кодирање или квиз. Компромитовани системи су накнадно заражени раније непознатом претњом позадинских врата праћеном као ЛигхтлессЦан.

Овај сајбер напад је део добро успостављене кампање за крађу идентитета познате као „Операција Посао из снова“. Оркестрира га Лазарус Гроуп , АПТ (Адванцед Персистент Тхреат) актер повезан са Северном Корејом. Примарни циљ Операције Дреам Јоб је да привуче запослене који раде у организацијама од стратешког интереса. Нападачи користе обећање о атрактивним приликама за посао као мамац за покретање ланца инфекције, са крајњим циљем да компромитују системе и податке својих мета.

Вишестепени ланац напада испоручује ЛигхтлессЦан малвер

Ланац напада почиње када се циљаној особи пошаље порука преко ЛинкедИн-а од лажног регрутера који тврди да представља Мета платформе. Овај лажни регрутер затим наставља са слањем два изазова кодирања, наизглед као део процеса регрутовања. Успешно су убедили жртву да изврши ове тестне датотеке, које се налазе на платформи за складиштење у облаку треће стране и под називом Куиз1.исо и Куиз2.исо.

Као што су стручњаци за сајбер безбедност идентификовали, ове ИСО датотеке садрже злонамерне бинарне датотеке познате као Куиз1.еке и Куиз2.еке. Од жртава се очекује да преузму и изврше датотеке на уређају који је обезбедила циљана компанија. Ако то урадите, систем ће бити компромитован, што ће довести до кршења корпоративне мреже.

Ово кршење отвара врата за примену ХТТП(С) преузимача познатог као НицкелЛоадер. Са овим алатом, нападачи добијају могућност да убризгају било који жељени програм директно у меморију рачунара жртве. Међу примењеним програмима били су тројанац за даљински приступ ЛигхтлессЦан и варијанта БЛИНДИНГЦАН , позната као миниБлиндингЦан (такође се назива АИРДРИ.В2). Ови претећи алати могли би да омогуће нападачима даљински приступ и контролу над компромитованим системом.

ЛигхтлессЦан представља еволуцију Лазаровог моћног арсенала

Најзабрињавајући аспект напада се врти око увођења новог корисног терета по имену ЛигхтлессЦан. Овај софистицирани алат показује значајан напредак у штетним способностима у поређењу са својим претходником, БЛИНДИНГЦАН (такође познат као АИДРИ или ЗетаНиле). БЛИНДИНГЦАН је већ био малвер богат функцијама способан да извуче осетљиве информације са компромитованих хостова.

ЛигхтлессЦан је опремљен подршком за до 68 различитих команди, иако његова тренутна верзија укључује само 43 од ових команди са барем неким функцијама. Што се тиче миниБлиндингЦан-а, он се првенствено бави задацима као што су пренос системских информација и преузимање датотека преузетих са удаљеног сервера.

Значајна карактеристика ове кампање је примена ограде за погубљење. Ове мере спречавају да се корисни терети дешифрују и изврше на било којој машини осим на оној намењеној жртви.

ЛигхтлессЦан је дизајниран да ради на начин који емулира функционалност бројних изворних Виндовс команди. Ово омогућава РАТ-у да изврши дискретно извршавање унутар себе, избегавајући потребу за бучним операцијама конзоле. Ова стратешка промена побољшава прикривеност, чинећи откривање и анализу нападачевих активности тежим.