Зловмисне програмне забезпечення LightlessCan

Кіберзлочинці здійснили шпигунську атаку на невідому аерокосмічну компанію в Іспанії. У цьому інциденті зловмисники прийняли вигляд рекрутера, пов’язаного з Meta (раніше Facebook), щоб націлитися на співробітників компанії. Шахрайський рекрутер зв’язався з цими співробітниками через LinkedIn і згодом обманом змусив завантажити та відкрити загрозливий виконуваний файл. Оманливий файл був представлений як тест із кодування або тест. Згодом скомпрометовані системи були заражені раніше невідомою бекдор-загрозою, відстежуваною як LightlessCan.

Ця кібератака є частиною добре налагодженої фішингової кампанії, відомої як «Операція «Робота мрії». Це організовано Lazarus Group , учасником APT (Advanced Persistent Threat), пов’язаним із Північною Кореєю. Основна мета операції «Робота мрії» — заманити співробітників, які працюють в організаціях, що становлять стратегічний інтерес. Зловмисники використовують обіцянки привабливих робочих місць як приманку для запуску ланцюга зараження з кінцевою метою скомпрометувати системи та дані своїх цілей.

Багатоетапна ланцюжок атак забезпечує зловмисне програмне забезпечення LightlessCan

Ланцюжок атак починається, коли цільовій особі надсилається повідомлення через LinkedIn від шахрайського рекрутера, який стверджує, що представляє Meta Platforms. Потім цей фіктивний рекрутер надсилає два виклики кодування, здавалося б, як частину процесу найму. Вони успішно переконали жертву виконати ці тестові файли, які розміщено на платформі хмарного зберігання сторонніх розробників і названі Quiz1.iso та Quiz2.iso.

Як виявили експерти з кібербезпеки, ці файли ISO містять шкідливі двійкові файли, відомі як Quiz1.exe і Quiz2.exe. Очікується, що жертви завантажать і запустять файли на пристрої, наданому цільовою компанією. Це призведе до зламу системи, що призведе до зламу корпоративної мережі.

Це порушення відкриває двері для розгортання завантажувача HTTP(S), відомого як NickelLoader. За допомогою цього інструменту зловмисники отримують можливість впровадити будь-яку потрібну програму безпосередньо в пам'ять комп'ютера жертви. Серед розгорнутих програм були троян віддаленого доступу LightlessCan і варіант BLINDINGCAN , відомий як miniBlindingCan (також відомий як AIRDRY.V2). Ці загрозливі інструменти можуть надати зловмисникам віддалений доступ і контроль над скомпрометованою системою.

LightlessCan представляє еволюцію потужного арсеналу Lazarus

Найбільш тривожний аспект атаки зосереджений навколо впровадження нового корисного навантаження під назвою LightlessCan. Цей складний інструмент демонструє значний прогрес у шкідливих можливостях порівняно з його попередником, BLINDINGCAN (також відомий як AIDRY або ZetaNile). BLINDINGCAN вже був багатофункціональним зловмисним програмним забезпеченням, здатним витягувати конфіденційну інформацію зі зламаних хостів.

LightlessCan підтримує до 68 різних команд, хоча його поточна версія включає лише 43 із цих команд із принаймні певною функціональністю. Що стосується miniBlindingCan, то він в основному виконує такі завдання, як передача системної інформації та завантаження файлів, отриманих із віддаленого сервера.

Примітною характеристикою цієї кампанії є виконання огорож. Ці заходи запобігають розшифруванню та виконанню корисних навантажень на будь-якій машині, окрім машини передбачуваної жертви.

LightlessCan розроблено для роботи таким чином, щоб емулювати функції багатьох рідних команд Windows. Це дозволяє RAT виконувати непомітне виконання всередині себе, уникаючи необхідності шумних операцій консолі. Ця стратегічна зміна покращує скритність, ускладнюючи виявлення та аналіз дій зловмисника.