Идващата от Северна Корея Lazarus Group е свързана с кибершпионска атака, насочена към неназована аерокосмическа компания в Испания, при която служителите на фирмата са били потърсени от заплахата, представяща се за лице, набиращо персонал за Meta.
„Служителите на набелязаната компания са се свързали с фалшив вербовчик чрез LinkedIn и са били подмамени да отворят злонамерен изпълним файл, представящ се като предизвикателство за кодиране или тест“, казва изследователят по сигурността от ESET Петер Калнай в технически доклад, споделен с The Hacker News.
Атаката е част от дългогодишна spear-phishing кампания, наречена „Операция Dream Job“, която е организирана от хакерския екип в опит да примами служители, работещи в потенциални цели, които представляват стратегически интерес, са примамени с изгодни възможности за работа, за да активират веригата за заразяване.
По-рано през март тази година словашката компания за киберсигурност подробно описа вълна от атаки, насочена към потребители на Linux, която включваше използването на фалшиви предложения за работа в HSBC за стартиране на задна врата, наречена SimplexTea.
Крайната цел на най-новото проникване, което е предназначено за системи с Windows, е внедряването на имплант с кодово име LightlessCan.
„Най-обезпокоителният аспект на атаката е новият тип полезен товар – LightlessCan, сложен и вероятно развиващ се инструмент, който показва високо ниво на сложност в дизайна и работата си и представлява значителен напредък в зловредните възможности в сравнение с предшественика си BLINDINGCAN“, казва Калнай.
BLINDINGCAN, известен също с името AIRDRY или ZetaNile, е богат на функции зловреден софтуер, който може да събира чувствителна информация от проникнати хостове.
Всичко започва с получаването от мишената на съобщение в LinkedIn от фалшив специалист по подбор на персонал, работещ за Meta Platforms, който след това изпраща две предизвикателства за кодиране като част от предполагаемия процес на наемане и убеждава жертвата да изпълни тестовите файлове (с имена Quiz1.iso и Quiz2.iso), хоствани на платформа за съхранение в облак на трета страна.
ESET заяви, че ISO файловете, които са съдържали зловредни двоични файлове Quiz1.exe и Quiz2.exe, са били изтеглени и изпълнени на предоставено от компанията устройство, което на практика е довело до самокомпрометиране на системата и пробив в корпоративната мрежа.
Атаката проправя път на HTTP(S) даунлоудър, наречен NickelLoader, който позволява на нападателите да разположат всяка желана програма в паметта на компютъра на жертвата, включително троянеца за отдалечен достъп LightlessCan и вариант на BLINDINGCAN, наречен miniBlindingCan (известен още като AIRDRY.V2).
LightlessCan е снабден с поддръжка на цели 68 различни команди, въпреки че в настоящата му версия само 43 от тези команди са реализирани с някаква функционалност. tminiBlindingCan има за основна задача да предава системна информация и да изтегля файлове, извлечени от отдалечен сървър, наред с други.
Забележителна черта на кампанията е използването на предпазни огради за изпълнение, за да се предотврати декриптирането на полезните товари и стартирането им на друга машина, различна от тази на планираната жертва.
„LightlessCan имитира функционалностите на широк набор от местни команди на Windows, което позволява дискретно изпълнение в рамките на самия RAT вместо шумни конзолни изпълнения“, казва Kálnai. „Тази стратегическа промяна повишава скритостта, като прави откриването и анализирането на дейностите на нападателя по-трудно.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.