Phần mềm độc hại LightlessCan
Tội phạm mạng đã thực hiện một cuộc tấn công gián điệp nhằm vào một công ty hàng không vũ trụ không được tiết lộ ở Tây Ban Nha. Trong vụ việc này, những kẻ đe dọa đã giả dạng một nhà tuyển dụng liên kết với Meta (trước đây là Facebook) để nhắm mục tiêu vào nhân viên của công ty. Những nhân viên này đã được nhà tuyển dụng lừa đảo liên hệ qua LinkedIn và sau đó bị lừa tải xuống và mở một tệp thực thi có tính đe dọa. Tệp lừa đảo được trình bày dưới dạng thử thách hoặc bài kiểm tra mã hóa. Các hệ thống bị xâm nhập sau đó đã bị nhiễm một mối đe dọa cửa sau chưa được biết đến trước đây có tên là LightlessCan.
Cuộc tấn công mạng này là một phần của chiến dịch lừa đảo trực tuyến lâu đời được gọi là "Chiến dịch công việc trong mơ". Nó được dàn dựng bởi Lazarus Group , một tổ chức APT (Mối đe dọa dai dẳng nâng cao) có liên hệ với Triều Tiên. Mục tiêu chính của Operation Dream Job là thu hút nhân viên đang làm việc trong các tổ chức có lợi ích chiến lược. Những kẻ tấn công sử dụng lời hứa hẹn về các cơ hội việc làm hấp dẫn làm mồi nhử để bắt đầu chuỗi lây nhiễm, với mục tiêu cuối cùng là xâm phạm hệ thống và dữ liệu của mục tiêu.
Chuỗi tấn công nhiều giai đoạn mang đến phần mềm độc hại LightlessCan
Chuỗi tấn công bắt đầu khi cá nhân mục tiêu nhận được tin nhắn qua LinkedIn từ một nhà tuyển dụng lừa đảo tự xưng đại diện cho Meta Platforms. Sau đó, nhà tuyển dụng không có thật này tiến hành gửi hai thử thách mã hóa, dường như là một phần của quy trình tuyển dụng. Họ đã thuyết phục thành công nạn nhân thực thi các tệp thử nghiệm này, được lưu trữ trên nền tảng lưu trữ đám mây của bên thứ ba và được đặt tên là Quiz1.iso và Quiz2.iso.
Như các chuyên gia an ninh mạng đã xác định, các tệp ISO này chứa các tệp nhị phân độc hại được gọi là Quiz1.exe và Quiz2.exe. Nạn nhân dự kiến sẽ tải xuống và thực thi các tệp trên thiết bị do công ty mục tiêu cung cấp. Làm như vậy sẽ khiến hệ thống bị xâm phạm, dẫn đến vi phạm mạng công ty.
Vi phạm này mở ra cơ hội cho việc triển khai trình tải xuống HTTP(S) được gọi là NickelLoader. Với công cụ này, kẻ tấn công có khả năng tiêm trực tiếp bất kỳ chương trình mong muốn nào vào bộ nhớ máy tính của nạn nhân. Trong số các chương trình được triển khai có Trojan truy cập từ xa LightlessCan và một biến thể của BLINDINGCAN , được gọi là miniBlindingCan (còn được gọi là AIRDRY.V2). Những công cụ đe dọa này có thể cấp cho kẻ tấn công quyền truy cập và kiểm soát từ xa đối với hệ thống bị xâm nhập.
LightlessCan Đại diện cho sự phát triển của kho vũ khí hùng mạnh của Lazarus
Khía cạnh đáng lo ngại nhất của cuộc tấn công xoay quanh việc giới thiệu một tải trọng mới có tên LightlessCan. Công cụ tinh vi này thể hiện sự tiến bộ đáng kể về khả năng gây hại khi so sánh với công cụ tiền nhiệm của nó, BLINDINGCAN (còn được gọi là AIDRY hoặc ZetaNile). BLINDINGCAN vốn là một phần mềm độc hại giàu tính năng có khả năng trích xuất thông tin nhạy cảm từ các máy chủ bị xâm nhập.
LightlessCan được trang bị hỗ trợ lên tới 68 lệnh riêng biệt, mặc dù phiên bản hiện tại của nó chỉ kết hợp 43 lệnh này với ít nhất một số chức năng. Còn đối với miniBlindingCan, nó chủ yếu xử lý các tác vụ như truyền thông tin hệ thống và tải xuống các tệp được lấy từ máy chủ từ xa.
Một đặc điểm đáng chú ý của chiến dịch này là việc thực hiện các rào chắn hành quyết. Các biện pháp này ngăn không cho tải trọng được giải mã và thực thi trên bất kỳ máy nào không phải là máy của nạn nhân dự kiến.
LightlessCan được thiết kế để hoạt động theo cách mô phỏng chức năng của nhiều lệnh Windows gốc. Điều này cho phép RAT thực hiện việc thực thi kín đáo bên trong chính nó, tránh sự cần thiết phải thực hiện các thao tác ồn ào trên bảng điều khiển. Sự thay đổi chiến lược này giúp tăng cường khả năng tàng hình, khiến việc phát hiện và phân tích hoạt động của kẻ tấn công trở nên khó khăn hơn.
