Бэкдор LightlessCan, развернутый северокорейской Lazarus APT
Lazarus Group, хакерский коллектив, действующий в Северной Корее, применил новую форму передового вредоносного ПО в своих мошеннических мошеннических действиях при приеме на работу, которую, как предупреждают исследователи, обнаружить значительно труднее, чем ее предшественника.
Изучая недавнюю фиктивную атаку на испанскую аэрокосмическую компанию, исследователи обнаружили ранее неизвестный бэкдор под названием LightlessCan.
Мошенническая тактика Lazarus Group при приеме на работу обычно включает в себя обман жертв с помощью фальшивых предложений о работе в известных компаниях. Злоумышленники заманивают жертв загрузить замаскированную вредоносную нагрузку в виде документов, чтобы причинить различные формы вреда.
По мнению исследователей, новая полезная нагрузка LightlessCan представляет собой значительное улучшение по сравнению со своим предшественником BlindingCan.
LightlessCan получил значительное обновление малозаметности
LightlessCan эмулирует функции широкого спектра собственных команд Windows, позволяя незаметно выполнять их внутри самого RAT, а не через консольные исполнения, которые могут вызвать некоторые красные флажки.
Этот метод обеспечивает значительное преимущество с точки зрения уклонения, поскольку позволяет избежать решений для мониторинга в реальном времени, таких как EDR, и инструментов цифровой криминалистики, используемых после того, как атака произошла.
В новой полезной нагрузке также используется то, что исследователи назвали «ограничителями выполнения», гарантируя, что полезная нагрузка может быть расшифрована только на машине предполагаемой жертвы, тем самым предотвращая непреднамеренное расшифрование исследователями безопасности.
Новое вредоносное ПО было использовано при атаке на испанскую аэрокосмическую фирму, когда ее сотрудник получил сообщение от поддельного рекрутера Meta по имени Стив Доусон.
Вскоре после этого хакеры отправили две простые задачи по кодированию, встроенные в вредоносное ПО. Кибершпионаж был основным мотивом атаки Lazarus Group на испанскую аэрокосмическую фирму.
Согласно отчету криминалистической компании Chainaанализ, занимающейся блокчейном, с 2016 года северокорейские хакеры предположительно украли около 3,5 миллиардов долларов США из криптовалютных проектов.