Северокорейская хакерская группа Lazarus атаковала сотрудников аэрокосмической компании, расположенной в Испании, предлагая им фиктивные вакансии для взлома корпоративной сети с помощью ранее неизвестного бэкдора LightlessCan.
Хакеры использовали свою текущую кампанию "Операция Dreamjob", в рамках которой они обращались к жертве через LinkedIn и вступали в фиктивный процесс приема на работу, в результате чего жертва должна была загрузить файл.
Сотрудник загружал файл на компьютер компании, что позволяло северокорейским хакерам проникнуть в корпоративную сеть для осуществления кибершпионажа
Специалисты компании ESET прошли обучение у международных экспертов и специалистов в области безопасности и защиты и смогли создать надежную и безопасную систему для защиты системы Lazarus, включая ранее не документированный бэкдор, который они назвали "LightlessCan".
Цепочка атак Lazarus
Реконструированная ESET атака Operation Dreamjob началась с сообщения в LinkedIn, отправленного агентом Lazarus под видом рекрутера из компании Meta (Facebook) по имени Стив Доусон
На более поздних этапах обсуждения жертве предлагалось подтвердить свои знания в области программирования на языке C , загрузив несколько тестов, которые распространялись в виде исполняемых файлов в ISO-файлах.
После запуска этих исполняемых файлов на машину жертвы через боковую загрузку DLL (mscoree.dll) с помощью легитимной программы (PresentationHost.exe) бесшумно подбрасывалась дополнительная полезная нагрузка из ISO-образов
Эта полезная нагрузка представляет собой инсталлятор вредоносной программы NickelLoader и, судя по всему, распространяет два бэкдора - вариант BlindingCan с пониженной функциональностью (miniBlindingCan) и LightlessCan
команды, поддерживаемые miniBlindingCan, следующие
- Передача сведений о системе (имя компьютера, версия Windows, кодовая страница).
- Обновить диапазон связи (значение с сервера C2).
- Остановить выполнение команды.
- Отправить 9 392 байта конфигурации на сервер C2.
- Обновить зашифрованную 9 392-байтную конфигурацию в файловой системе.
- Дождаться следующей команды.
- Обновить диапазон связи (из конфигурации).
- Загрузить и расшифровать файлы с сервера C2.
- Запустить предоставленный шелл-код.
Черный ход LightlessCan
Компания ESET утверждает, что LightlessCan - это преемник BlindingCan, основанный на сходстве исходного кода и последовательности команд, отличающийся более сложной структурой кода, иной индексацией и расширенной функциональностью
Она поддерживает версию 1.0 и 43 команды, взятые из атаки на испанскую аэрокосмическую организацию. Однако, как утверждают в ESET, в коде есть еще 25 команд, которые пока не реализованы
Вредоносная программа копирует многие штатные команды Windows, такие как ping, ipconfig, netstant, mkdir, schstasks, systeminfo и т.д, что позволяет ей выполнять их, не отображаясь в системной консоли, для большей скрытности от средств мониторинга в реальном времени
Поскольку эти команды являются закрытыми, ESET считает, что Lazarus либо сумел провести реверс-инжиниринг кода, либо черпал вдохновение в открытых версиях
Еще один интересный момент, о котором сообщает ESET, заключается в том, что один из образцов полезной нагрузки LightlessCan был зашифрован и мог быть расшифрован только с помощью ключа, зависящего от окружения цели.
Это активная мера защиты, направленная на предотвращение доступа к компьютеру жертвы на извне, например, исследователей или аналитиков безопасности
Данное открытие подчеркивает, что операция Lazarus "Dreamjob" преследует не только финансовые цели, такие как кража криптовалюты, но и включает в себя задачи шпионажа
Кроме того, появление новой сложной полезной нагрузки - LightlessCan - является тревожным событием для организаций, которые могут оказаться под прицелом северокорейской группы угроз.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
