Nordkorea gibt sich als Meta für den Einsatz einer komplexen Hintertür bei Aerospace Org aus

Die staatlich geförderte nordkoreanische Lazarus-Gruppe scheint ihrem Malware-Arsenal eine komplexe und sich noch in der Entwicklung befindliche neue Hintertür hinzugefügt zu haben, die erstmals bei einem erfolgreichen Cyber-Angriff auf ein spanisches Luft- und Raumfahrtunternehmen entdeckt wurde.

Forscher von ESET, die die Malware entdeckt haben, verfolgen die neue Bedrohung als „LightlessCan“ und glauben, dass sie auf dem Quellcode des Flaggschiff-Remote-Access-Trojaners (RAT) BlindingCan der Bedrohungsgruppe basiert.

Lazarus ist eine vom nordkoreanischen Staat unterstützte Bedrohungsgruppe, mit der US-amerikanische Organisationen und Unternehmenssicherheitsteams im Laufe der Jahre sehr vertraut geworden sind. Seitdem die Lazarus-Gruppe 2014 mit einem verheerenden Angriff auf Sony Pictures erstmals große Bekanntheit erlangte, hat sie sich als eine der schädlichsten Advanced Persistent Threat (APT)-Gruppen etabliert, die derzeit aktiv sind. Im Laufe der Jahre wurden durch Angriffe auf Banken und andere Finanzinstitute Dutzende Millionen Dollar gestohlen; exfiltrierte Terabyte sensibler Informationen aus Rüstungsunternehmen, Regierungsbehörden, Gesundheitsorganisationen und Energieunternehmen; und zahlreiche hingerichtet Kryptowährungsüberfälle und Angriffe auf die Lieferkette.

Spear-Phishing als Meta für den Erstzugriff

Die Analyse des Angriffs auf das spanische Luft- und Raumfahrtunternehmen durch ESET ergab, dass Lazarus-Akteure über eine erfolgreiche Spear-Phishing-Kampagne, die sich gezielt an bestimmte Mitarbeiter des Unternehmens richtete, ersten Zugang erlangten. Der Bedrohungsakteur gab sich als Personalvermittler für die Facebook-Muttergesellschaft Meta aus und kontaktierte die Entwickler des Luft- und Raumfahrtunternehmens über LinkedIn Messaging.

Ein Mitarbeiter, der dazu verleitet wurde, die ursprüngliche Nachricht weiterzuverfolgen, erhielt zwei Codierungsherausforderungen, angeblich um die Kenntnisse des Mitarbeiters in der Programmiersprache C++ zu überprüfen. In Wirklichkeit enthielten die Codierungsherausforderungen, die auf einer Cloud-Speicherplattform eines Drittanbieters gehostet wurden, bösartige ausführbare Dateien, die heimlich zusätzliche Nutzlasten auf das System des Mitarbeiters herunterluden, als dieser versuchte, die Herausforderung zu lösen.

Die erste dieser Nutzlasten war ein HTTPS-Downloader, den ESET-Forscher NickelLoader nannten. Das Tool ermöglichte es den Akteuren der Lazarus-Gruppe grundsätzlich, jedes Programm ihrer Wahl im Speicher des kompromittierten Systems bereitzustellen. In diesem Fall nutzte die Lazarus-Gruppe NickelLoader, um zwei RATs abzuwerfen – eine Version von BlindingCan mit eingeschränkten Funktionen und die LightlessCan-Hintertür. Die Rolle der vereinfachten Version von BlindingCan – die ESET miniBlindingCan genannt hat – besteht darin, Systeminformationen wie Computernamen, Windows-Version und Konfigurationsdaten zu sammeln und außerdem Befehle vom Command-and-Control-Server (C2) zu empfangen und auszuführen .

Für Organisationen, auf die die Lazarus-Gruppe abzielt, stellt LightlessCan laut ESET-Forscher eine erhebliche neue Bedrohung dar Peter Kálnai schrieb in einem Blogbeitrag Einzelheiten zur neu entdeckten Malware.

Das Design der Malware gibt den Akteuren der Lazarus-Gruppe die Möglichkeit, Spuren bösartiger Aktivitäten auf kompromittierten Systemen erheblich einzudämmen, wodurch die Fähigkeit von Echtzeitüberwachungskontrollen und forensischen Tools, sie zu erkennen, eingeschränkt wird.

Eine RATTE, die sich vor Echtzeitüberwachung und forensischen Tools versteckt

LightlessCan bietet Unterstützung für bis zu 68 verschiedene Befehle, von denen viele native Windows-Befehle imitieren, wie z. B. ping, ipconfig, systeminfo und net zum Sammeln von System- und Umgebungsinformationen. Derzeit sind nur 43 dieser Befehle tatsächlich funktionsfähig – der Rest sind eine Art Platzhalter, die der Bedrohungsakteur vermutlich zu einem späteren Zeitpunkt vollständig funktionsfähig machen wird, was darauf hindeutet, dass sich das Tool noch in der Entwicklung befindet. 

„Das Projekt hinter dem RAT basiert definitiv auf dem BlindingCan-Quellcode, da die Reihenfolge der gemeinsam genutzten Befehle weitgehend erhalten bleibt, auch wenn es Unterschiede in ihrer Indizierung geben kann“, erklärte Kálnai im Blogbeitrag.

Allerdings scheint LightlessCan deutlich fortschrittlicher zu sein als BoundlessCan. Der neue Trojaner ermöglicht unter anderem die Ausführung der nativen Windows-Befehle innerhalb des RAT selbst. 

„Dieser Ansatz bietet einen erheblichen Vorteil im Hinblick auf die Tarnung, sowohl bei der Umgehung von Echtzeit-Überwachungslösungen wie Endpoint Detection and Response (EDRs) als auch bei postmortalen digitalen Forensik-Tools“, schrieb Kálnai.

Der Bedrohungsakteur hat LightlessCan außerdem so manipuliert, dass seine verschlüsselte Nutzlast nur mit einem Entschlüsselungsschlüssel entschlüsselt werden kann, der für den kompromittierten Computer spezifisch ist. Ziel ist es sicherzustellen, dass die Payload-Entschlüsselung nur auf Zielsystemen und nicht in einer anderen Umgebung möglich ist. Kálnai bemerkte: beispielsweise ein System eines Sicherheitsforschers.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace