Η Βόρεια Κορέα παρουσιάζεται ως Meta για να αναπτύξει Complex Backdoor στην Aerospace Org

Ο όμιλος Lazarus Group της Βόρειας Κορέας που χρηματοδοτείται από το κράτος φαίνεται να έχει προσθέσει μια πολύπλοκη και εξελισσόμενη νέα πόρτα στο οπλοστάσιο κακόβουλου λογισμικού της, που εντοπίστηκε για πρώτη φορά σε έναν επιτυχημένο συμβιβασμό στον κυβερνοχώρο μιας ισπανικής αεροδιαστημικής εταιρείας.

Ερευνητές από την ESET που ανακάλυψαν το κακόβουλο λογισμικό παρακολουθούν τη νέα απειλή ως "LightlessCan" και πιστεύουν ότι βασίζεται στον πηγαίο κώδικα από το ναυαρχίδα της ομάδας απειλών BlindingCan Remote Access Trojan (RAT).

Ο Lazarus είναι μια ομάδα απειλών που υποστηρίζεται από το κράτος της Βόρειας Κορέας, με την οποία οι αμερικανικοί οργανισμοί και οι ομάδες ασφάλειας επιχειρήσεων έχουν εξοικειωθεί πολύ με τα χρόνια. Από τότε που κέρδισε για πρώτη φορά ευρεία φήμη με μια καταστροφική επίθεση στη Sony Pictures το 2014, η ομάδα Lazarus έχει καθιερωθεί ως μία από τις πιο καταστροφικές ομάδες προηγμένων επίμονων απειλών (APT) που είναι ενεργές αυτήν τη στιγμή. Με τα χρόνια, έχει κλέψει δεκάδες εκατομμύρια δολάρια με επιθέσεις σε τράπεζες και άλλα χρηματοπιστωτικά ιδρύματα. διήθησαν terabyte ευαίσθητων πληροφοριών από αμυντικούς εργολάβους, κυβερνητικές υπηρεσίες, οργανισμών υγείας και ενεργειακών επιχειρήσεων; και εκτέλεσε πολλούς ληστείες κρυπτονομισμάτων και επιθέσεις στην εφοδιαστική αλυσίδα.

Spear-phishing ως Meta για αρχική πρόσβαση

Η ανάλυση της ESET για την επίθεση στην ισπανική αεροδιαστημική εταιρεία έδειξε ότι οι ηθοποιοί της Lazarus απέκτησαν αρχική πρόσβαση μέσω μιας επιτυχημένης εκστρατείας spear-phishing με στόχο συγκεκριμένους υπαλλήλους της εταιρείας. Ο ηθοποιός των απειλών μεταμφιέστηκε ως στρατολόγος για τη μητρική Meta του Facebook και επικοινώνησε με τους προγραμματιστές της αεροδιαστημικής εταιρείας μέσω του LinkedIn Messaging.

Ένας υπάλληλος που εξαπατήθηκε για να παρακολουθήσει το αρχικό μήνυμα έλαβε δύο προκλήσεις κωδικοποίησης, υποτίθεται για να ελέγξει την επάρκεια του υπαλλήλου στη γλώσσα προγραμματισμού C++. Στην πραγματικότητα, οι προκλήσεις κωδικοποίησης - που φιλοξενούνται σε μια πλατφόρμα αποθήκευσης cloud τρίτων - περιείχαν κακόβουλα εκτελέσιμα που κατέβαζαν κρυφά πρόσθετα ωφέλιμα φορτία στο σύστημα του υπαλλήλου όταν προσπαθούσαν να λύσουν την πρόκληση.

Το πρώτο από αυτά τα ωφέλιμα φορτία ήταν ένα πρόγραμμα λήψης HTTPS που οι ερευνητές της ESET ονόμασαν NickelLoader. Το εργαλείο βασικά επέτρεπε στους ηθοποιούς της ομάδας Lazarus να αναπτύξουν οποιοδήποτε πρόγραμμα της επιλογής τους στη μνήμη του παραβιασμένου συστήματος. Σε αυτήν την περίπτωση, η ομάδα Lazarus χρησιμοποίησε το NickelLoader για να ρίξει δύο RAT - μια έκδοση περιορισμένης λειτουργίας του BlindingCan και το LightlessCan backdoor. Ο ρόλος της απλοποιημένης έκδοσης του BlindingCan — την οποία η ESET ονόμασε miniBlindingCan — είναι να συλλέγει πληροφορίες συστήματος όπως όνομα υπολογιστή, έκδοση Windows και δεδομένα διαμόρφωσης, καθώς και να λαμβάνει και να εκτελεί εντολές από τον διακομιστή εντολών και ελέγχου (C2) .

Για τους οργανισμούς που στοχεύει η ομάδα Lazarus, το LightlessCan αντιπροσωπεύει μια σημαντική νέα απειλή, σύμφωνα με τον ερευνητή της ESET Ο Peter Kálnai έγραψε σε μια ανάρτηση στο blog περιγράφοντας λεπτομερώς το κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα.

Ο σχεδιασμός του κακόβουλου λογισμικού δίνει στους ηθοποιούς της ομάδας Lazarus έναν τρόπο να περιέχουν σημαντικά ίχνη κακόβουλης δραστηριότητας σε παραβιασμένα συστήματα, περιορίζοντας έτσι την ικανότητα των ελέγχων παρακολούθησης σε πραγματικό χρόνο και των εγκληματολογικών εργαλείων να το εντοπίζουν.

Ένας αρουραίος που κρύβεται από την παρακολούθηση και τα εγκληματολογικά εργαλεία σε πραγματικό χρόνο

Το LightlessCan ενσωματώνει υποστήριξη για έως και 68 διακριτές εντολές, πολλές από τις οποίες μιμούνται εγγενείς εντολές των Windows, όπως ping, ipconfig, systeminfo και net για τη συλλογή πληροφοριών συστήματος και περιβάλλοντος. Μόνο 43 από αυτές τις εντολές είναι στην πραγματικότητα λειτουργικές αυτή τη στιγμή - οι υπόλοιπες είναι ένα είδος κράτησης θέσης που ο παράγοντας απειλής πιθανώς θα καταστήσει πλήρως λειτουργικούς κάποια στιγμή αργότερα, υποδηλώνοντας ότι το εργαλείο είναι ακόμα υπό ανάπτυξη. 

«Το έργο πίσω από το RAT βασίζεται σίγουρα στον πηγαίο κώδικα BlindingCan, καθώς η σειρά των κοινών εντολών διατηρείται σημαντικά, παρόλο που μπορεί να υπάρχουν διαφορές στην ευρετηρίασή τους», εξήγησε ο Kálnai στην ανάρτηση ιστολογίου.

Ωστόσο, το LightlessCan φαίνεται να είναι σημαντικά πιο προηγμένο από το BoundlessCan. Μεταξύ άλλων, το νέο Trojan επιτρέπει την εκτέλεση των εγγενών εντολών των Windows μέσα στο ίδιο το RAT. 

«Αυτή η προσέγγιση προσφέρει ένα σημαντικό πλεονέκτημα όσον αφορά τη μυστικότητα, τόσο στην αποφυγή λύσεων παρακολούθησης σε πραγματικό χρόνο, όπως η ανίχνευση και απόκριση τελικού σημείου (EDRs), όσο και τα μεταθανάτια ψηφιακά εγκληματολογικά εργαλεία», έγραψε ο Kálnai.

Ο παράγοντας απειλής έχει επίσης στηθεί το LightlessCan με τέτοιο τρόπο ώστε το κρυπτογραφημένο ωφέλιμο φορτίο του μπορεί να αποκρυπτογραφηθεί μόνο χρησιμοποιώντας ένα κλειδί αποκρυπτογράφησης που είναι συγκεκριμένο για το παραβιασμένο μηχάνημα. Ο στόχος είναι να διασφαλιστεί ότι η αποκρυπτογράφηση ωφέλιμου φορτίου είναι δυνατή μόνο σε συστήματα-στόχους και όχι σε οποιοδήποτε άλλο περιβάλλον, Ο Kálnai σημείωσε, όπως ένα σύστημα που ανήκει σε έναν ερευνητή ασφάλειας.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cloud/north-korea-meta-complex-backdoor-aerospace