Az észak-koreai Lazarus APT által telepített LightlessCan Backdoor
A Lazarus Group, egy Észak-Koreában működő hackerkollektíva, a fejlett malware új formáját alkalmazta megtévesztő állásátveréseik során, amelyet a kutatók óvatossága szerint sokkal nehezebb észlelni, mint elődjét.
Egy spanyol repülőgép-ipari vállalat elleni közelmúltbeli hamis munkahelyi támadást vizsgálva a kutatók egy LightlessCan nevű, korábban ismeretlen hátsó ajtót fedeztek fel.
A Lazarus Group csalárd állástaktikája jellemzően az áldozatok megtévesztését jelenti neves cégeknél hamis állásajánlatokkal. A támadók arra csábítják az áldozatokat, hogy töltsenek le egy leplezett rosszindulatú rakományt dokumentumok formájában, hogy különféle károkat okozzanak.
A kutatók szerint az új LightlessCan hasznos teher jelentős előrelépést jelent elődjéhez, a BlindingCanhoz képest.
A LightlessCan jelentős lopakodó frissítést kapott
A LightlessCan a natív Windows-parancsok széles skálájának funkcióit emulálja, lehetővé téve a diszkrét végrehajtást magán a RAT-on belül, nem pedig a konzolos végrehajtásokon keresztül, amelyek piros zászlókat válthatnak ki.
Ez a módszer jelentős előnyt jelent a kijátszás szempontjából, mind az olyan valós idejű megfigyelési megoldások, mint az EDR-ek, mind a támadás után használt digitális kriminalisztikai eszközök elkerülése terén.
Az új rakomány a kutatók által "végrehajtási védőkorlátoknak" is nevezett, biztosítva, hogy a rakományt csak az áldozat gépén lehessen visszafejteni, ezzel megakadályozva a biztonsági kutatók nem szándékos visszafejtését.
Az új kártevőt egy spanyol repülőgép-ipari cég elleni támadásban használták, amikor egy alkalmazott üzenetet kapott egy Steve Dawson nevű, hamisított Meta toborzótól.
Nem sokkal ezután a hackerek két egyszerű kódolási kihívást küldtek a kártevőbe ágyazva. A kiberkémkedés volt az elsődleges indítéka a Lazarus csoportnak a spanyolországi székhelyű repülőgép-ipari cég elleni támadása mögött.
A Chainalysis blokklánc-kriminalisztikai cég szeptember 14-i jelentése szerint 2016 óta észak-koreai hackerek állítólag körülbelül 3,5 milliárd dollárt loptak el kriptovaluta projektekből.
