LightlessCan Kötü Amaçlı Yazılım

Siber suçlular, İspanya'da ismi açıklanmayan bir havacılık şirketine casusluk saldırısı düzenledi. Bu olayda, tehdit aktörleri Meta'ya (eski adıyla Facebook) bağlı bir işe alım uzmanı kılığına girerek şirketin çalışanlarını hedef aldı. Dolandırıcı personel alımı görevlisi bu çalışanlarla LinkedIn aracılığıyla iletişime geçti ve daha sonra aldatılarak tehditkar bir yürütülebilir dosyayı indirip açtılar. Aldatıcı dosya bir kodlama mücadelesi veya sınav olarak sunuldu. Güvenliği ihlal edilen sistemlere daha sonra LightlessCan olarak takip edilen, önceden bilinmeyen bir arka kapı tehdidi bulaştı.

Bu siber saldırı, "Rüya İşi Operasyonu" olarak bilinen köklü bir hedef odaklı kimlik avı kampanyasının bir parçasıdır. Kuzey Kore'ye bağlı bir APT (Gelişmiş Kalıcı Tehdit) aktörü olan Lazarus Grubu tarafından yönetilmektedir. Dream Job Operasyonunun temel amacı, stratejik çıkarlara sahip kuruluşlarda çalışan çalışanları cezbetmektir. Saldırganlar, hedeflerinin sistemlerini ve verilerini tehlikeye atmak amacıyla enfeksiyon zincirini başlatmak için cazip iş fırsatları vaadini yem olarak kullanıyor.

Çok Aşamalı Saldırı Zinciri LightlessCan Kötü Amaçlı Yazılımını Sağlıyor

Saldırı zinciri, hedeflenen kişiye, Meta Platformlarını temsil ettiğini iddia eden dolandırıcı bir işe alım görevlisinden LinkedIn aracılığıyla bir mesaj gönderilmesiyle başlar. Bu sahte işe alım görevlisi daha sonra, görünüşte işe alım sürecinin bir parçası gibi görünen iki kodlama sorgulaması göndermeye devam ediyor. Kurbanı, üçüncü taraf bir bulut depolama platformunda barındırılan ve Quiz1.iso ve Quiz2.iso olarak adlandırılan bu test dosyalarını çalıştırmaya başarıyla ikna ettiler.

Siber güvenlik uzmanlarının da tespit ettiği gibi bu ISO dosyaları, Quiz1.exe ve Quiz2.exe olarak bilinen kötü amaçlı ikili dosyalar taşıyor. Mağdurların, dosyaları hedeflenen şirket tarafından sağlanan bir cihaza indirip çalıştırmaları bekleniyor. Bunu yapmak sistemin tehlikeye girmesine ve kurumsal ağın ihlaline yol açacaktır.

Bu ihlal, NickelLoader olarak bilinen bir HTTP(S) indiricisinin dağıtımına kapıyı açıyor. Bu araçla saldırganlar, istedikleri herhangi bir programı doğrudan kurbanın bilgisayarının belleğine enjekte etme yeteneği kazanıyor. Konuşlandırılan programlar arasında LightlessCan uzaktan erişim Truva Atı ve BLINDINGCAN'ın miniBlindingCan olarak bilinen bir çeşidi (AIRDRY.V2 olarak da anılır) vardı. Bu tehdit edici araçlar, saldırganlara tehlike altındaki sisteme uzaktan erişim ve kontrol olanağı sağlayabilir.

LightlessCan, Lazarus'un Güçlü Arsenalinin Evrimini Temsil Ediyor

Saldırının en endişe verici yönü LightlessCan adlı yeni bir veri yükünün tanıtılması etrafında dönüyor. Bu gelişmiş araç, selefi BLINDINGCAN (AIDRY veya ZetaNile olarak da bilinir) ile karşılaştırıldığında zararlı yeteneklerde önemli bir ilerleme sergiliyor. BLINDINGCAN zaten güvenliği ihlal edilmiş ana bilgisayarlardan hassas bilgileri çıkarabilen, zengin özelliklere sahip bir kötü amaçlı yazılımdı.

LightlessCan, 68'e kadar farklı komut desteğiyle donatılmıştır, ancak mevcut sürümü bu komutlardan yalnızca 43'ünü en azından bir miktar işlevsellikle içermektedir. miniBlindingCan ise öncelikle sistem bilgilerinin iletilmesi ve uzak sunucudan alınan dosyaların indirilmesi gibi görevleri yerine getiriyor.

Bu kampanyanın dikkate değer bir özelliği, infaz korkuluklarının uygulanmasıdır. Bu önlemler, yüklerin şifresinin çözülmesini ve hedeflenen kurbanın makinesi dışındaki herhangi bir makinede yürütülmesini önler.

LightlessCan, çok sayıda yerel Windows komutunun işlevlerini taklit edecek şekilde çalışacak şekilde tasarlanmıştır. Bu, RAT'ın gürültülü konsol işlemlerine olan ihtiyacı ortadan kaldırarak kendi içinde gizli yürütme gerçekleştirmesine olanak tanır. Bu stratejik değişim gizliliği artırarak saldırganın faaliyetlerini tespit etmeyi ve analiz etmeyi daha zor hale getiriyor.