Backdoor LightlessCan wdrożony przez północnokoreańską firmę Lazarus APT
Grupa Lazarus, kolektyw hakerski działający z Korei Północnej, wykorzystał nową formę zaawansowanego złośliwego oprogramowania w swoich zwodniczych oszustwach związanych z zatrudnieniem, które, jak ostrzegają badacze, jest znacznie trudniejsze do wykrycia niż jego poprzednik.
Badając niedawny fałszywy atak na hiszpańską firmę z branży lotniczej, badacze odkryli nieznanego wcześniej backdoora o nazwie LightlessCan.
Taktyka oszukańczej pracy stosowana przez Grupę Lazarus zazwyczaj polega na oszukiwaniu ofiar fałszywymi ofertami pracy w renomowanych firmach. Atakujący wabią ofiary do pobrania ukrytego szkodliwego ładunku w postaci dokumentów, aby wyrządzić różne formy szkody.
Według badaczy nowy ładunek LightlessCan stanowi znaczną poprawę w porównaniu do jego poprzednika, BlindingCan.
LightlessCan otrzymał znaczące ulepszenie Stealth
LightlessCan emuluje funkcje szerokiego zakresu natywnych poleceń systemu Windows, umożliwiając dyskretne wykonywanie w samym RAT, a nie poprzez wykonywanie poleceń na konsoli, co mogłoby wywołać pewne czerwone flagi.
Metoda ta zapewnia znaczną przewagę pod względem unikania zagrożeń, zarówno w przypadku rozwiązań monitorujących w czasie rzeczywistym, takich jak EDR, jak i cyfrowych narzędzi kryminalistycznych używanych po ataku.
Nowy ładunek wykorzystuje także to, co badacze nazwali „poręczami wykonawczymi”, zapewniając, że ładunek może zostać odszyfrowany wyłącznie na maszynie zamierzonej ofiary, co zapobiega niezamierzonemu odszyfrowaniu przez badaczy bezpieczeństwa.
Nowatorskie złośliwe oprogramowanie zostało wykorzystane w ataku na hiszpańską firmę z branży lotniczej i kosmicznej, gdy pracownik otrzymał wiadomość od fałszywego rekrutera Meta, Steve'a Dawsona.
Wkrótce potem hakerzy wysłali dwa proste wyzwania związane z kodowaniem wbudowane w złośliwe oprogramowanie. Cyberszpiegostwo było głównym motywem ataku Grupy Lazarus na hiszpańską firmę lotniczą.
Według raportu z 14 września opracowanego przez firmę Chainalytic zajmującą się kryminalistyką blockchain, od 2016 roku północnokoreańscy hakerzy rzekomo ukradli około 3,5 miliarda dolarów z projektów kryptowalutowych.