Backdoor LightlessCan implementato dall'APT nordcoreana Lazarus
Il Lazarus Group, un collettivo di hacker che opera nella Corea del Nord, ha utilizzato una nuova forma di malware avanzato nelle sue ingannevoli truffe sul lavoro, che i ricercatori avvertono è molto più difficile da rilevare rispetto al suo predecessore.
Durante l'esame di un recente attacco di lavoro falso contro una società aerospaziale spagnola, i ricercatori hanno scoperto una backdoor precedentemente sconosciuta denominata LightlessCan.
La tattica di lavoro fraudolenta del Gruppo Lazarus consiste in genere nell'ingannare le vittime con false offerte di lavoro presso aziende rinomate. Gli aggressori inducono le vittime a scaricare un payload dannoso mascherato sotto forma di documenti per causare varie forme di danno.
Secondo i ricercatori, il nuovo carico utile LightlessCan rappresenta un miglioramento significativo rispetto al suo predecessore, BlindingCan.
LightlessCan ha ricevuto un significativo aggiornamento Stealth
LightlessCan emula le funzioni di un'ampia gamma di comandi nativi di Windows, consentendo un'esecuzione discreta all'interno del RAT stesso anziché tramite esecuzioni su console che potrebbero attivare alcuni segnali di allarme.
Questo metodo offre un vantaggio significativo in termini di evasione, sia nell’eludere soluzioni di monitoraggio in tempo reale come gli EDR che gli strumenti forensi digitali utilizzati dopo che si è verificato un attacco.
Il nuovo payload utilizza anche quelli che i ricercatori hanno chiamato "guardrail di esecuzione", garantendo che il payload possa essere decrittografato solo sul computer della vittima designata, impedendo così la decrittazione involontaria da parte dei ricercatori di sicurezza.
Il nuovo malware è stato utilizzato in un attacco contro un'azienda aerospaziale spagnola quando un dipendente ha ricevuto un messaggio da un reclutatore Meta contraffatto di nome Steve Dawson.
Poco dopo, gli hacker hanno inviato due semplici sfide di codifica integrate nel malware. Il cyberspionaggio è stato il motivo principale dietro l'attacco del Gruppo Lazarus all'azienda aerospaziale spagnola.
Dal 2016, gli hacker nordcoreani avrebbero rubato circa 3,5 miliardi di dollari da progetti di criptovaluta, secondo un rapporto del 14 settembre della società forense blockchain Chainalysis.