„LightlessCan Backdoor“ įdiegė Šiaurės Korėjos Lazarus APT
„Lazarus Group“, įsilaužėlių kolektyvas, veikiantis iš Šiaurės Korėjos, savo apgaulingoms darbo aferoms panaudojo naujos formos pažangią kenkėjišką programinę įrangą, kurią, tyrėjų teigimu, aptikti yra daug sunkiau nei jos pirmtaką.
Nagrinėdami neseniai įvykdytą netikrą darbo išpuolį prieš Ispanijos aviacijos ir kosmoso kompaniją, tyrėjai aptiko anksčiau nežinomas užpakalines duris, pavadintas LightlessCan.
„Lazarus Group“ apgaulingo darbo taktika paprastai apima aukų apgaudinėjimą suklastotais įdarbinimo pasiūlymais žinomose įmonėse. Užpuolikai vilioja aukas dokumentų pavidalu parsisiųsti užmaskuotą kenkėjišką krovinį, kad padarytų įvairių formų žalą.
Pasak mokslininkų, naujoji „LightlessCan“ naudingoji apkrova yra reikšmingas patobulinimas, palyginti su jo pirmtaku „BlindingCan“.
LightlessCan gavo reikšmingą slaptą atnaujinimą
„LightlessCan“ emuliuoja daugybę vietinių „Windows“ komandų, leidžiančių diskretiškai vykdyti pačiame RAT, o ne konsolėje, kuri gali suaktyvinti kai kurias raudonas vėliavėles.
Šis metodas suteikia didelį pranašumą vengimo atžvilgiu, nes išvengiama realiojo laiko stebėjimo sprendimų, pvz., EDR, ir skaitmeninių teismo medicinos įrankių, naudojamų po atakos.
Naujajame naudingajame krovinyje taip pat naudojami tai, ką tyrėjai vadino „vykdymo apsauginiais turėklais“, užtikrinančiais, kad naudingoji apkrova gali būti iššifruota tik numatytoje aukos mašinoje, taip užkertant kelią netyčia iššifruoti saugumo tyrinėtojams.
Nauja kenkėjiška programa buvo panaudota atakuojant Ispanijos aviacijos ir kosmoso įmonę, kai darbuotojas gavo pranešimą iš padirbto Meta verbuotojo Steve'o Dawsono.
Netrukus po to įsilaužėliai išsiuntė du paprastus kodavimo iššūkius, įterptus į kenkėjišką programą. Kibernetinis šnipinėjimas buvo pagrindinis „Lazarus Group“ atakos prieš Ispanijoje įsikūrusią aviacijos ir kosmoso įmonę motyvas.
Nuo 2016 metų Šiaurės Korėjos įsilaužėliai tariamai pavogė maždaug 3,5 mlrd. USD iš kriptovaliutų projektų, teigiama rugsėjo 14 d.