มัลแวร์ LightlessCan

อาชญากรไซเบอร์ได้ดำเนินการจารกรรมโจมตีบริษัทการบินและอวกาศที่ไม่เปิดเผยในสเปน ในเหตุการณ์นี้ ผู้คุกคามสันนิษฐานว่าปลอมตัวเป็นนายหน้าที่เกี่ยวข้องกับ Meta (เดิมคือ Facebook) เพื่อกำหนดเป้าหมายไปที่พนักงานของบริษัท พนักงานเหล่านี้ได้รับการติดต่อผ่าน LinkedIn โดยผู้สรรหาที่ฉ้อโกง และต่อมาถูกหลอกให้ดาวน์โหลดและเปิดไฟล์ปฏิบัติการที่เป็นภัยคุกคาม ไฟล์หลอกลวงถูกนำเสนอเป็นการท้าทายการเขียนโค้ดหรือแบบทดสอบ ระบบที่ถูกบุกรุกได้ติดภัยคุกคามแบ็คดอร์ที่ไม่รู้จักก่อนหน้านี้ซึ่งติดตามในชื่อ LightlessCan

การโจมตีทางไซเบอร์นี้เป็นส่วนหนึ่งของแคมเปญฟิชชิ่งแบบหอกที่เป็นที่รู้จักในชื่อ "Operation Dream Job" จัดทำโดย Lazarus Group ซึ่งเป็นนักแสดง APT (Advanced Persistent Threat) ที่เชื่อมโยงกับเกาหลีเหนือ วัตถุประสงค์หลักของ Operation Dream Job คือการล่อลวงพนักงานที่ทำงานภายในองค์กรที่มีผลประโยชน์เชิงกลยุทธ์ ผู้โจมตีใช้คำมั่นสัญญาว่าจะได้งานที่น่าสนใจเป็นเหยื่อล่อในการเริ่มต้นห่วงโซ่การติดเชื้อ โดยมีเป้าหมายสูงสุดคือทำลายระบบและข้อมูลของเป้าหมาย

ห่วงโซ่การโจมตีแบบหลายขั้นตอนมอบมัลแวร์ LightlessCan

ห่วงโซ่การโจมตีเริ่มต้นเมื่อบุคคลเป้าหมายได้รับข้อความผ่าน LinkedIn จากผู้สรรหาที่ฉ้อโกงโดยอ้างว่าเป็นตัวแทนของ Meta Platforms จากนั้นผู้สรรหาปลอมรายนี้จะดำเนินการส่งความท้าทายในการเขียนโค้ดสองครั้ง ซึ่งดูเหมือนจะเป็นส่วนหนึ่งของกระบวนการสรรหาบุคลากร พวกเขาประสบความสำเร็จในการโน้มน้าวให้เหยื่อเรียกใช้ไฟล์ทดสอบเหล่านี้ ซึ่งโฮสต์บนแพลตฟอร์มจัดเก็บข้อมูลบนคลาวด์ของบุคคลที่สามในชื่อ Quiz1.iso และ Quiz2.iso

ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระบุ ไฟล์ ISO เหล่านี้มีไฟล์ไบนารีที่เป็นอันตรายซึ่งเรียกว่า Quiz1.exe และ Quiz2.exe เหยื่อจะต้องดาวน์โหลดและรันไฟล์บนอุปกรณ์ที่บริษัทเป้าหมายมอบให้ การทำเช่นนี้จะส่งผลให้ระบบถูกบุกรุก นำไปสู่การละเมิดเครือข่ายองค์กร

การละเมิดนี้เปิดประตูสู่การติดตั้งโปรแกรมดาวน์โหลด HTTP(S) ที่รู้จักในชื่อ NickelLoader ด้วยเครื่องมือนี้ ผู้โจมตีจะสามารถแทรกโปรแกรมที่ต้องการลงในหน่วยความจำคอมพิวเตอร์ของเหยื่อได้โดยตรง ในบรรดาโปรแกรมที่ใช้งาน ได้แก่ โทรจันการเข้าถึงระยะไกล LightlessCan และ BLINDINGCAN รุ่นอื่นที่รู้จักกันในชื่อ miniBlindingCan (หรือเรียกอีกอย่างว่า AIRDRY.V2) เครื่องมือคุกคามเหล่านี้อาจทำให้ผู้โจมตีสามารถเข้าถึงและควบคุมระบบที่ถูกบุกรุกจากระยะไกลได้

LightlessCan แสดงถึงวิวัฒนาการของคลังแสงอันทรงพลังของลาซารัส

ประเด็นที่เกี่ยวข้องกับการโจมตีมากที่สุดเกี่ยวข้องกับการเปิดตัวเพย์โหลดใหม่ชื่อ LightlessCan เครื่องมืออันซับซ้อนนี้แสดงให้เห็นถึงความก้าวหน้าอย่างมากในด้านความสามารถที่เป็นอันตราย เมื่อเปรียบเทียบกับ BLINDINGCAN รุ่นก่อน (หรือที่รู้จักในชื่อ AIDRY หรือ ZetaNile) BLINDINGCAN เป็นมัลแวร์ที่มีคุณสมบัติหลากหลายอยู่แล้วซึ่งสามารถดึงข้อมูลที่ละเอียดอ่อนจากโฮสต์ที่ถูกบุกรุกได้

LightlessCan มาพร้อมกับการรองรับคำสั่งที่แตกต่างกันได้ถึง 68 คำสั่ง แม้ว่าเวอร์ชันปัจจุบันจะรวมคำสั่งเหล่านี้เพียง 43 คำสั่งและฟังก์ชันบางอย่างเป็นอย่างน้อย สำหรับ miniBlindingCan นั้น จะจัดการงานต่างๆ เป็นหลัก เช่น การส่งข้อมูลระบบ และการดาวน์โหลดไฟล์ที่ดึงมาจากเซิร์ฟเวอร์ระยะไกล

ลักษณะเด่นของแคมเปญนี้คือการใช้รั้วการดำเนินการ มาตรการเหล่านี้ป้องกันไม่ให้เพย์โหลดถูกถอดรหัสและดำเนินการบนเครื่องอื่นนอกเหนือจากเครื่องที่ตกเป็นเหยื่อ

LightlessCan ได้รับการออกแบบมาเพื่อทำงานในลักษณะที่จำลองฟังก์ชันการทำงานของคำสั่ง Windows ดั้งเดิมจำนวนมาก ซึ่งช่วยให้ RAT ดำเนินการอย่างรอบคอบภายในตัวมันเอง หลีกเลี่ยงความจำเป็นในการดำเนินการคอนโซลที่มีเสียงดัง การเปลี่ยนแปลงเชิงกลยุทธ์นี้ช่วยเพิ่มการลักลอบ ทำให้การตรวจจับและวิเคราะห์กิจกรรมของผู้โจมตีมีความท้าทายมากขึ้น