Идващата от  Северна Корея Lazarus Group е свързана с кибершпионска атака, насочена към неназована аерокосмическа компания в Испания, при която служителите на фирмата са били потърсени от заплахата, представяща се за лице, набиращо персонал за Meta.

„Служителите на набелязаната компания са се свързали с фалшив вербовчик чрез LinkedIn и са били подмамени да отворят злонамерен изпълним файл, представящ се като предизвикателство за кодиране или тест“, казва изследователят по сигурността от ESET Петер Калнай в технически доклад, споделен с The Hacker News.

Атаката е част от дългогодишна spear-phishing кампания, наречена „Операция Dream Job“, която е организирана от хакерския екип в опит да примами служители, работещи в потенциални цели, които представляват стратегически интерес, са примамени с изгодни възможности за работа, за да активират веригата за заразяване.

По-рано през март тази година словашката компания за киберсигурност подробно описа вълна от атаки, насочена към потребители на Linux, която включваше използването на фалшиви предложения за работа в HSBC за стартиране на задна врата, наречена SimplexTea.

Крайната цел на най-новото проникване, което е предназначено за системи с Windows, е внедряването на имплант с кодово име LightlessCan.

„Най-обезпокоителният аспект на атаката е новият тип полезен товар – LightlessCan, сложен и вероятно развиващ се инструмент, който показва високо ниво на сложност в дизайна и работата си и представлява значителен напредък в зловредните възможности в сравнение с предшественика си BLINDINGCAN“, казва Калнай.

BLINDINGCAN, известен също с името AIRDRY или ZetaNile, е богат на функции зловреден софтуер, който може да събира чувствителна информация от проникнати хостове.

Всичко започва с получаването от мишената на съобщение в LinkedIn от фалшив специалист по подбор на персонал, работещ за Meta Platforms, който след това изпраща две предизвикателства за кодиране като част от предполагаемия процес на наемане и убеждава жертвата да изпълни тестовите файлове (с имена Quiz1.iso и Quiz2.iso), хоствани на платформа за съхранение в облак на трета страна.

ESET заяви, че ISO файловете, които са съдържали зловредни двоични файлове Quiz1.exe и Quiz2.exe, са били изтеглени и изпълнени на предоставено от компанията устройство, което на практика е довело до самокомпрометиране на системата и пробив в корпоративната мрежа.

Атаката проправя път на HTTP(S) даунлоудър, наречен NickelLoader, който позволява на нападателите да разположат всяка желана програма в паметта на компютъра на жертвата, включително троянеца за отдалечен достъп LightlessCan и вариант на BLINDINGCAN, наречен miniBlindingCan (известен още като AIRDRY.V2).

LightlessCan е снабден с поддръжка на цели 68 различни команди, въпреки че в настоящата му версия само 43 от тези команди са реализирани с някаква функционалност. tminiBlindingCan има за основна задача да предава системна информация и да изтегля файлове, извлечени от отдалечен сървър, наред с други.

Забележителна черта на кампанията е използването на предпазни огради за изпълнение, за да се предотврати декриптирането на полезните товари и стартирането им на друга машина, различна от тази на планираната жертва.

„LightlessCan имитира функционалностите на широк набор от местни команди на Windows, което позволява дискретно изпълнение в рамките на самия RAT вместо шумни конзолни изпълнения“, казва Kálnai. „Тази стратегическа промяна повишава скритостта, като прави откриването и анализирането на дейностите на нападателя по-трудно.“