Търсене
Close this search box.

Идващата от  Северна Корея Lazarus Group е свързана с кибершпионска атака, насочена към неназована аерокосмическа компания в Испания, при която служителите на фирмата са били потърсени от заплахата, представяща се за лице, набиращо персонал за Meta.

„Служителите на набелязаната компания са се свързали с фалшив вербовчик чрез LinkedIn и са били подмамени да отворят злонамерен изпълним файл, представящ се като предизвикателство за кодиране или тест“, казва изследователят по сигурността от ESET Петер Калнай в технически доклад, споделен с The Hacker News.

Атаката е част от дългогодишна spear-phishing кампания, наречена „Операция Dream Job“, която е организирана от хакерския екип в опит да примами служители, работещи в потенциални цели, които представляват стратегически интерес, са примамени с изгодни възможности за работа, за да активират веригата за заразяване.

По-рано през март тази година словашката компания за киберсигурност подробно описа вълна от атаки, насочена към потребители на Linux, която включваше използването на фалшиви предложения за работа в HSBC за стартиране на задна врата, наречена SimplexTea.

Крайната цел на най-новото проникване, което е предназначено за системи с Windows, е внедряването на имплант с кодово име LightlessCan.

„Най-обезпокоителният аспект на атаката е новият тип полезен товар – LightlessCan, сложен и вероятно развиващ се инструмент, който показва високо ниво на сложност в дизайна и работата си и представлява значителен напредък в зловредните възможности в сравнение с предшественика си BLINDINGCAN“, казва Калнай.

Spanish Aerospace Firm

BLINDINGCAN, известен също с името AIRDRY или ZetaNile, е богат на функции зловреден софтуер, който може да събира чувствителна информация от проникнати хостове.

Всичко започва с получаването от мишената на съобщение в LinkedIn от фалшив специалист по подбор на персонал, работещ за Meta Platforms, който след това изпраща две предизвикателства за кодиране като част от предполагаемия процес на наемане и убеждава жертвата да изпълни тестовите файлове (с имена Quiz1.iso и Quiz2.iso), хоствани на платформа за съхранение в облак на трета страна.

ESET заяви, че ISO файловете, които са съдържали зловредни двоични файлове Quiz1.exe и Quiz2.exe, са били изтеглени и изпълнени на предоставено от компанията устройство, което на практика е довело до самокомпрометиране на системата и пробив в корпоративната мрежа.

Атаката проправя път на HTTP(S) даунлоудър, наречен NickelLoader, който позволява на нападателите да разположат всяка желана програма в паметта на компютъра на жертвата, включително троянеца за отдалечен достъп LightlessCan и вариант на BLINDINGCAN, наречен miniBlindingCan (известен още като AIRDRY.V2).

LightlessCan е снабден с поддръжка на цели 68 различни команди, въпреки че в настоящата му версия само 43 от тези команди са реализирани с някаква функционалност. tminiBlindingCan има за основна задача да предава системна информация и да изтегля файлове, извлечени от отдалечен сървър, наред с други.

Забележителна черта на кампанията е използването на предпазни огради за изпълнение, за да се предотврати декриптирането на полезните товари и стартирането им на друга машина, различна от тази на планираната жертва.

„LightlessCan имитира функционалностите на широк набор от местни команди на Windows, което позволява дискретно изпълнение в рамките на самия RAT вместо шумни конзолни изпълнения“, казва Kálnai. „Тази стратегическа промяна повишава скритостта, като прави откриването и анализирането на дейностите на нападателя по-трудно.“

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
08/10/2024

Защо многофакторното удосто...

Твърде крайно е да се каже,...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!