LightlessCan Malware

Ang mga cybercriminal ay nagsagawa ng isang pag-atake ng espionage laban sa isang hindi ibinunyag na kumpanya ng aerospace sa Spain. Sa insidenteng ito, ang mga banta ng aktor ay nagkunwari ng isang recruiter na kaanib ng Meta (dating Facebook) para i-target ang mga empleyado ng kumpanya. Ang mga empleyadong ito ay nakipag-ugnayan sa pamamagitan ng LinkedIn ng mapanlinlang na recruiter at pagkatapos ay nalinlang sa pag-download at pagbubukas ng nagbabantang executable file. Ang mapanlinlang na file ay ipinakita bilang isang coding challenge o quiz. Ang mga nakompromisong sistema ay nahawahan ng dating hindi kilalang banta sa backdoor na sinusubaybayan bilang LightlessCan.

Ang cyberattack na ito ay bahagi ng isang well-established spear-phishing campaign na kilala bilang "Operation Dream Job." Ito ay ino-orkestra ng Lazarus Group , isang aktor ng APT (Advanced Persistent Threat) na naka-link sa North Korea. Ang pangunahing layunin ng Operation Dream Job ay akitin ang mga empleyado na nagtatrabaho sa loob ng mga organisasyong may madiskarteng interes. Ginagamit ng mga umaatake ang pangako ng mga kaakit-akit na pagkakataon sa trabaho bilang pain upang simulan ang chain ng impeksyon, na may pangwakas na layunin na ikompromiso ang mga system at data ng kanilang mga target.

Isang Multi-stage Attack Chain ang Naghahatid ng LightlessCan Malware

Magsisimula ang chain ng pag-atake kapag pinadalhan ng mensahe ang target na indibidwal sa pamamagitan ng LinkedIn mula sa isang mapanlinlang na recruiter na nagsasabing kinakatawan ang Meta Platforms. Ang huwad na recruiter na ito ay nagpapatuloy na magpadala ng dalawang hamon sa coding, na tila bahagi ng proseso ng recruitment. Matagumpay nilang nakumbinsi ang biktima na isagawa ang mga test file na ito, na naka-host sa isang third-party na cloud storage platform at pinangalanang Quiz1.iso at Quiz2.iso.

Tulad ng natukoy ng mga eksperto sa cybersecurity, ang mga ISO file na ito ay may mga nakakahamak na binary file na kilala bilang Quiz1.exe at Quiz2.exe. Inaasahang ida-download at i-execute ng mga biktima ang mga file sa isang device na ibinigay ng target na kumpanya. Ang paggawa nito ay magreresulta sa pagiging kompromiso ng system, na humahantong sa isang paglabag sa corporate network.

Ang paglabag na ito ay nagbubukas ng pinto para sa deployment ng isang HTTP(S) downloader na kilala bilang NickelLoader. Gamit ang tool na ito, ang mga umaatake ay nakakakuha ng kakayahang mag-inject ng anumang gustong program nang direkta sa memorya ng computer ng biktima. Kabilang sa mga programang na-deploy ay ang LightlessCan remote access Trojan at isang variant ng BLINDINGCAN , na kilala bilang miniBlindingCan (tinukoy din bilang AIRDRY.V2). Ang mga nagbabantang tool na ito ay maaaring magbigay sa mga umaatake ng malayuang pag-access at kontrol sa nakompromisong system.

Ang LightlessCan ay kumakatawan sa isang Ebolusyon ng Makapangyarihang Arsenal ni Lazarus

Ang pinakakinakabahang aspeto ng pag-atake ay umiikot sa pagpapakilala ng isang novel payload na pinangalanang LightlessCan. Ang sopistikadong tool na ito ay nagpapakita ng makabuluhang pagsulong sa mga mapaminsalang kakayahan kung ihahambing sa hinalinhan nito, ang BLINDINGCAN (kilala rin bilang AIDRY o ZetaNile). Ang BLINDINGCAN ay isa nang malware na mayaman sa tampok na may kakayahang kumuha ng sensitibong impormasyon mula sa mga nakompromisong host.

Ang LightlessCan ay nilagyan ng suporta para sa hanggang 68 natatanging command, bagama't ang kasalukuyang bersyon nito ay nagsasama lamang ng 43 sa mga command na ito na may hindi bababa sa ilang functionality. Tulad ng para sa miniBlindingCan, pangunahing pinangangasiwaan nito ang mga gawain tulad ng pagpapadala ng impormasyon ng system at pag-download ng mga file na nakuha mula sa isang malayong server.

Ang isang kapansin-pansing katangian ng kampanyang ito ay ang pagpapatupad ng execution guardrails. Pinipigilan ng mga hakbang na ito ang mga payload na ma-decrypt at maisakatuparan sa anumang makina maliban sa isa sa nilalayong biktima.

Ang LightlessCan ay idinisenyo upang gumana sa paraang tumutulad sa mga pag-andar ng maraming katutubong utos ng Windows. Nagbibigay-daan ito sa RAT na magsagawa ng maingat na pagpapatupad sa loob ng sarili nito, na iniiwasan ang pangangailangan para sa maingay na pagpapatakbo ng console. Pinahuhusay ng strategic shift na ito ang stealthiness, na ginagawang mas mahirap na makita at suriin ang mga aktibidad ng umaatake.