Porte dérobée LightlessCan déployée par Lazarus APT nord-coréen
Le groupe Lazarus, un collectif de hackers opérant en Corée du Nord, a utilisé une nouvelle forme de malware avancé dans ses escroqueries trompeuses à l'emploi, qui, selon les chercheurs, est beaucoup plus difficile à détecter que son prédécesseur.
En examinant une récente fausse attaque contre une entreprise aérospatiale espagnole, les chercheurs ont découvert une porte dérobée jusque-là inconnue nommée LightlessCan.
Les tactiques frauduleuses du groupe Lazarus consistent généralement à tromper les victimes avec de fausses offres d'emploi dans des entreprises renommées. Les attaquants incitent les victimes à télécharger une charge utile malveillante déguisée sous la forme de documents afin de causer diverses formes de préjudice.
Selon les chercheurs, la nouvelle charge utile LightlessCan représente une amélioration significative par rapport à son prédécesseur, BlindingCan.
LightlessCan a reçu une mise à niveau furtive importante
LightlessCan émule les fonctions d'un large éventail de commandes Windows natives, permettant une exécution discrète au sein du RAT lui-même plutôt que via des exécutions de console qui pourraient déclencher des signaux d'alarme.
Cette méthode offre un avantage significatif en termes d'évasion, à la fois en évitant les solutions de surveillance en temps réel telles que les EDR et les outils d'investigation numérique utilisés après une attaque.
La nouvelle charge utile utilise également ce que les chercheurs ont appelé des « garde-fous d'exécution », garantissant que la charge utile ne peut être déchiffrée que sur la machine de la victime prévue, empêchant ainsi un décryptage involontaire par les chercheurs en sécurité.
Le nouveau malware a été utilisé lors d'une attaque contre une entreprise aérospatiale espagnole lorsqu'un employé a reçu un message d'un faux recruteur Meta nommé Steve Dawson.
Peu de temps après, les pirates ont lancé deux défis de codage simples intégrés au malware. Le cyberespionnage était le principal motif de l'attaque du groupe Lazarus contre l'entreprise aérospatiale basée en Espagne.
Depuis 2016, des pirates nord-coréens auraient volé environ 3,5 milliards de dollars dans des projets de crypto-monnaie, selon un rapport du 14 septembre de la société d'investigation blockchain Chainalysis.