Το LightlessCan Backdoor αναπτύχθηκε από τον Βορειοκορεάτη Lazarus APT
Η ομάδα Lazarus, μια ομάδα χάκερ που δραστηριοποιείται στη Βόρεια Κορέα, έχει χρησιμοποιήσει μια νέα μορφή προηγμένου κακόβουλου λογισμικού στις παραπλανητικές απάτες εργασίας τους, τις οποίες οι ερευνητές προειδοποιούν ότι είναι πολύ πιο δύσκολο να εντοπιστεί από τον προκάτοχό του.
Ενώ εξέταζαν μια πρόσφατη επίθεση ψεύτικης δουλειάς σε μια ισπανική αεροδιαστημική εταιρεία, οι ερευνητές ανακάλυψαν μια άγνωστη μέχρι τότε κερκόπορτα με το όνομα LightlessCan.
Η δόλια τακτική εργασίας του Ομίλου Lazarus συνήθως περιλαμβάνει την εξαπάτηση των θυμάτων με ψεύτικες προσφορές απασχόλησης σε γνωστές εταιρείες. Οι εισβολείς δελεάζουν τα θύματα να κατεβάσουν ένα συγκαλυμμένο κακόβουλο ωφέλιμο φορτίο με τη μορφή εγγράφων για να προκαλέσουν διάφορες μορφές βλάβης.
Σύμφωνα με ερευνητές, το νέο ωφέλιμο φορτίο LightlessCan αντιπροσωπεύει σημαντική βελτίωση σε σύγκριση με τον προκάτοχό του, το BlindingCan.
Το LightlessCan έλαβε σημαντική αναβάθμιση Stealth
Το LightlessCan μιμείται τις λειτουργίες ενός ευρέος φάσματος εγγενών εντολών των Windows, επιτρέποντας τη διακριτική εκτέλεση εντός του ίδιου του RAT και όχι μέσω εκτελέσεων κονσόλας που ενδέχεται να ενεργοποιήσουν ορισμένες κόκκινες σημαίες.
Αυτή η μέθοδος παρέχει ένα σημαντικό πλεονέκτημα από την άποψη της φοροδιαφυγής, τόσο στην αποφυγή λύσεων παρακολούθησης σε πραγματικό χρόνο, όπως τα EDR, όσο και στα ψηφιακά εγκληματολογικά εργαλεία που χρησιμοποιούνται μετά την πραγματοποίηση μιας επίθεσης.
Το νέο ωφέλιμο φορτίο χρησιμοποιεί επίσης αυτό που οι ερευνητές ονόμασαν "προστατευτικά κιγκλιδώματα εκτέλεσης", διασφαλίζοντας ότι το ωφέλιμο φορτίο μπορεί να αποκρυπτογραφηθεί μόνο στο μηχάνημα του προβλεπόμενου θύματος, αποτρέποντας έτσι την ακούσια αποκρυπτογράφηση από τους ερευνητές ασφαλείας.
Το νέο κακόβουλο λογισμικό χρησιμοποιήθηκε σε μια επίθεση σε μια ισπανική αεροδιαστημική εταιρεία όταν ένας υπάλληλος έλαβε ένα μήνυμα από έναν πλαστό στρατολόγο της Meta ονόματι Steve Dawson.
Λίγο αργότερα, οι χάκερ έστειλαν δύο απλές προκλήσεις κωδικοποίησης ενσωματωμένες στο κακόβουλο λογισμικό. Η κυβερνοκατασκοπεία ήταν το κύριο κίνητρο πίσω από την επίθεση του Ομίλου Lazarus στην αεροδιαστημική εταιρεία με έδρα την Ισπανία.
Από το 2016, Βορειοκορεάτες χάκερ φέρεται να έχουν κλέψει περίπου 3,5 δισεκατομμύρια δολάρια από έργα κρυπτονομισμάτων, σύμφωνα με μια έκθεση της 14ης Σεπτεμβρίου της εταιρείας εγκληματολογίας του blockchain Chainalysis.
