北朝鮮のLazarus APTによって導入されたLightlessCanバックドア

北朝鮮を拠点に活動するハッカー集団「Lazarus Group」は、欺瞞的な求人詐欺に新形式の高度なマルウェアを使用しており、以前のグループよりも検出が大幅に困難になっていると研究者らは警告している。

研究者らは、スペインの航空宇宙企業に対する最近の偽職攻撃を調査していたところ、LightlessCan というこれまで知られていなかったバックドアを発見しました。

Lazarus Group の詐欺的な求人戦略には、有名企業の偽の求人情報を提供して被害者を騙すのが一般的です。攻撃者は被害者を誘惑し、文書の形式で偽装した悪意のあるペイロードをダウンロードさせ、さまざまな形の危害を引き起こします。

研究者らによると、新しい LightlessCan ペイロードは、以前の BlindingCan と比較して大幅な改善が見られます。

LightlessCan が大幅なステルス アップグレードを受け取りました

LightlessCan は、さまざまなネイティブ Windows コマンドの機能をエミュレートし、危険信号を引き起こす可能性のあるコンソール実行ではなく、RAT 自体内での慎重な実行を可能にします。

この方法は、攻撃発生後に使用される EDR やデジタル フォレンジック ツールなどのリアルタイム監視ソリューションを回避するという回避の点で大きな利点をもたらします。

新しいペイロードには、研究者らが「実行ガードレール」と呼んだものも採用されており、意図した被害者のマシンでのみペイロードを復号できるようにすることで、セキュリティ研究者による意図しない復号を防止している。

この新しいマルウェアは、スペインの航空宇宙企業に対する攻撃で使用され、従業員が Steve Dawson という名前の偽のメタ採用担当者からメッセージを受信しました。

その直後、ハッカーはマルウェアに埋め込まれた 2 つの簡単なコーディング チャレンジを送信しました。 Lazarus Group によるスペインに本拠を置く航空宇宙企業への攻撃の背後にある主な動機はサイバースパイ活動でした。

ブロックチェーンフォレンジック企業チェイナリシスの9月14日の報告書によると、2016年以来、北朝鮮のハッカーは仮想通貨プロジェクトから約35億ドルを盗んだとされる。