Търсене
Close this search box.

Lazarus Group се представя за специалист по набиране на персонал от Meta

Идващата от  Северна Корея Lazarus Group е свързана с кибершпионска атака, насочена към неназована аерокосмическа компания в Испания, при която служителите на фирмата са били потърсени от заплахата, представяща се за лице, набиращо персонал за Meta.

„Служителите на набелязаната компания са се свързали с фалшив вербовчик чрез LinkedIn и са били подмамени да отворят злонамерен изпълним файл, представящ се като предизвикателство за кодиране или тест“, казва изследователят по сигурността от ESET Петер Калнай в технически доклад, споделен с The Hacker News.

Атаката е част от дългогодишна spear-phishing кампания, наречена „Операция Dream Job“, която е организирана от хакерския екип в опит да примами служители, работещи в потенциални цели, които представляват стратегически интерес, са примамени с изгодни възможности за работа, за да активират веригата за заразяване.

По-рано през март тази година словашката компания за киберсигурност подробно описа вълна от атаки, насочена към потребители на Linux, която включваше използването на фалшиви предложения за работа в HSBC за стартиране на задна врата, наречена SimplexTea.

Крайната цел на най-новото проникване, което е предназначено за системи с Windows, е внедряването на имплант с кодово име LightlessCan.

„Най-обезпокоителният аспект на атаката е новият тип полезен товар – LightlessCan, сложен и вероятно развиващ се инструмент, който показва високо ниво на сложност в дизайна и работата си и представлява значителен напредък в зловредните възможности в сравнение с предшественика си BLINDINGCAN“, казва Калнай.

Spanish Aerospace Firm

BLINDINGCAN, известен също с името AIRDRY или ZetaNile, е богат на функции зловреден софтуер, който може да събира чувствителна информация от проникнати хостове.

Всичко започва с получаването от мишената на съобщение в LinkedIn от фалшив специалист по подбор на персонал, работещ за Meta Platforms, който след това изпраща две предизвикателства за кодиране като част от предполагаемия процес на наемане и убеждава жертвата да изпълни тестовите файлове (с имена Quiz1.iso и Quiz2.iso), хоствани на платформа за съхранение в облак на трета страна.

ESET заяви, че ISO файловете, които са съдържали зловредни двоични файлове Quiz1.exe и Quiz2.exe, са били изтеглени и изпълнени на предоставено от компанията устройство, което на практика е довело до самокомпрометиране на системата и пробив в корпоративната мрежа.

Атаката проправя път на HTTP(S) даунлоудър, наречен NickelLoader, който позволява на нападателите да разположат всяка желана програма в паметта на компютъра на жертвата, включително троянеца за отдалечен достъп LightlessCan и вариант на BLINDINGCAN, наречен miniBlindingCan (известен още като AIRDRY.V2).

LightlessCan е снабден с поддръжка на цели 68 различни команди, въпреки че в настоящата му версия само 43 от тези команди са реализирани с някаква функционалност. tminiBlindingCan има за основна задача да предава системна информация и да изтегля файлове, извлечени от отдалечен сървър, наред с други.

Забележителна черта на кампанията е използването на предпазни огради за изпълнение, за да се предотврати декриптирането на полезните товари и стартирането им на друга машина, различна от тази на планираната жертва.

„LightlessCan имитира функционалностите на широк набор от местни команди на Windows, което позволява дискретно изпълнение в рамките на самия RAT вместо шумни конзолни изпълнения“, казва Kálnai. „Тази стратегическа промяна повишава скритостта, като прави откриването и анализирането на дейностите на нападателя по-трудно.“

Източник: The Hacker News

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
02/04/2024

Индия спасява 250 граждани,...

Индийското правителство съобщи, че е спасило...
01/04/2024

FTC: Американците са загуби...

Според статистически данни, събрани от Федералната...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!