LightlessCan Backdoor Deployeret af nordkoreanske Lazarus APT
Lazarus Group, et hackerkollektiv, der opererer fra Nordkorea, har brugt en ny form for avanceret malware i deres vildledende jobsvindel, som forskere advarer om er betydeligt sværere at opdage end sin forgænger.
Mens de undersøgte et nyligt falsk jobangreb på en spansk luftfartsvirksomhed, opdagede forskere en hidtil ukendt bagdør ved navn LightlessCan.
Lazarus-gruppens bedrageriske jobtaktik går typisk ud på at bedrage ofre med falske ansættelsestilbud hos anerkendte virksomheder. Angriberne lokker ofrene til at downloade en skjult ondsindet nyttelast i form af dokumenter for at forårsage forskellige former for skade.
Ifølge forskere repræsenterer den nye LightlessCan nyttelast en væsentlig forbedring sammenlignet med sin forgænger, BlindingCan.
LightlessCan modtog betydelig stealth-opgradering
LightlessCan emulerer funktionerne i en lang række indbyggede Windows-kommandoer, hvilket giver mulighed for diskret udførelse i selve RAT'en i stedet for gennem konsoludførelser, der kan udløse nogle røde flag.
Denne metode giver en betydelig fordel med hensyn til unddragelse, både ved at undgå realtidsovervågningsløsninger som EDR'er og digitale retsmedicinske værktøjer, der bruges efter et angreb har fundet sted.
Den nye nyttelast anvender også, hvad forskerne kaldte "udførelsesværn", der sikrer, at nyttelasten kun kan dekrypteres på det tiltænkte offers maskine, og derved forhindre utilsigtet dekryptering af sikkerhedsforskere.
Den nye malware blev brugt i et angreb på et spansk rumfartsfirma, da en medarbejder modtog en besked fra en forfalsket Meta-rekrutterer ved navn Steve Dawson.
Kort efter sendte hackerne to enkle kodningsudfordringer indlejret med malwaren. Cyberspionage var det primære motiv bag Lazarus-gruppens angreb på det spansk-baserede rumfartsfirma.
Siden 2016 har nordkoreanske hackere angiveligt stjålet cirka 3,5 milliarder dollars fra cryptocurrency-projekter, ifølge en rapport den 14. september fra blockchain-forensics-firmaet Chainalysis.
