LightlessCan Malware

Cyberkriminella har utfört en spionageattack mot ett hemligt flygbolag i Spanien. I denna incident antog hotaktörerna skepnaden av en rekryterare knuten till Meta (tidigare Facebook) för att rikta in sig på företagets anställda. Dessa anställda kontaktades via LinkedIn av den bedrägliga rekryteraren och blev sedan lurade till att ladda ner och öppna en hotfull körbar fil. Den vilseledande filen presenterades som en kodningsutmaning eller frågesport. De komprometterade systemen infekterades därefter med ett tidigare okänt bakdörrshot som spårades som LightlessCan.

Denna cyberattack är en del av en väletablerad spjutfiskekampanj känd som "Operation Dream Job". Det är orkestrerat av Lazarus Group , en APT-skådespelare (Advanced Persistent Threat) kopplad till Nordkorea. Det primära målet med Operation Dream Job är att locka medarbetare som arbetar inom organisationer av strategiskt intresse. Angriparna använder löftet om attraktiva jobbmöjligheter som lockbete för att initiera infektionskedjan, med det slutliga målet att äventyra sina måls system och data.

En attackkedja i flera steg ger LightlessCan Malware

Attackkedjan börjar när den riktade individen skickas ett meddelande via LinkedIn från en bedräglig rekryterare som påstår sig representera Meta Platforms. Denna falska rekryterare fortsätter sedan med att skicka två kodningsutmaningar, till synes som en del av rekryteringsprocessen. De lyckades övertyga offret att köra dessa testfiler, som finns på en tredjeparts molnlagringsplattform och heter Quiz1.iso och Quiz2.iso.

Som cybersäkerhetsexperter har identifierat innehåller dessa ISO-filer skadliga binära filer som kallas Quiz1.exe och Quiz2.exe. Offren förväntas ladda ner och köra filerna på en enhet som tillhandahålls av det riktade företaget. Om du gör det kommer systemet att äventyras, vilket leder till ett brott mot företagets nätverk.

Detta intrång öppnar dörren för distributionen av en HTTP(S)-nedladdare känd som NickelLoader. Med detta verktyg får angriparna möjligheten att injicera vilket program som helst direkt i offrets dators minne. Bland de utplacerade programmen var LightlessCan-trojanen för fjärråtkomst och en variant av BLINDINGCAN , känd som miniBlindingCan (även kallad AIRDRY.V2). Dessa hotfulla verktyg kan ge angriparna fjärråtkomst och kontroll över det komprometterade systemet.

LightlessCan representerar en utveckling av Lazarus kraftfulla Arsenal

Attackens mest oroande aspekt kretsar kring introduktionen av en ny nyttolast vid namn LightlessCan. Detta sofistikerade verktyg uppvisar betydande framsteg när det gäller skadliga egenskaper jämfört med sin föregångare, BLINDINGCAN (även känd som AIDRY eller ZetaNile). BLINDINGCAN var redan en funktionsrik skadlig programvara som kunde extrahera känslig information från komprometterade värdar.

LightlessCan är utrustad med stöd för upp till 68 distinkta kommandon, även om dess nuvarande version innehåller endast 43 av dessa kommandon med åtminstone viss funktionalitet. När det gäller miniBlindingCan hanterar den i första hand uppgifter som att överföra systeminformation och ladda ner filer hämtade från en fjärrserver.

En anmärkningsvärd egenskap hos denna kampanj är implementeringen av skyddsräcken för avrättning. Dessa åtgärder förhindrar att nyttolasten dekrypteras och exekveras på någon annan maskin än den avsedda offrets.

LightlessCan är utformad för att fungera på ett sätt som emulerar funktionerna hos många inbyggda Windows-kommandon. Detta gör att RAT kan utföra diskret exekvering inom sig själv, vilket undviker behovet av bullriga konsoloperationer. Denna strategiska förändring förbättrar smygandet, vilket gör det mer utmanande att upptäcka och analysera angriparens aktiviteter.